Kwetsbaarheid melden

Het Europees Consumenten Centrum (ECC) streeft ernaar dat onze website een veilige plek is voor iedereen. Toch kan het voorkomen dat er een zwakke plek ontstaat. Vind je een zwakke plek in onze systemen? Laat het ons weten, zodat we snel maatregelen kunnen treffen. In onze responsible disclosure lees je meer over hoe je een kwetsbaarheid kunt melden. We werken graag samen met jou om onze gebruikers en systemen beter te beschermen.

Meld kwetsbaarheid

Kom je een bug, lek of andere type kwetsbaarheid tegen op onze website? Laat ons dit zo snel mogelijk weten via een beveiligde mail. 

Ik wil een melding doen

Wat is een kwetsbaarheid?

Een kwetsbaarheid is een afwijking die een onveilige situatie kan veroorzaken. De zwakke plek beïnvloedt de beschikbaarheid, integriteit of vertrouwelijkheid van informatie. Je zou bijvoorbeeld toegang kunnen krijgen tot onze systemen en daarmee tot vertrouwelijke informatie. Dat is uiteraard niet de bedoeling. 

Zie je een spelfout of iets anders dat geen onveilige situaties veroorzaakt, maar wel opgelost moet worden? Neem dan contact op met de webredactie en stuur een e-mail naar @email
 

Regels

Voor het melden van een kwetsbaarheid gelden enkele regels. Lees hieronder wat wij van jou verwachten en wat jij van ons kunt verwachten.
 

Test onze website op een verantwoorde manier. Doe alleen wat nodig is om een bug, lek of andere type kwetsbaarheid te vinden. 

  • Maak geen misbruik van de kwetsbaarheid. Download bijvoorbeeld niet meer data dan nodig is om het lek aan te tonen, en bekijk, verwijder of wijzig geen gegevens van derden.
  • Houd je aan de regels om een juridische procedure te voorkomen.
  • Gebruik ons beveiligde berichtensysteem om de kwetsbaarheid te melden.
  • Meld de kwetsbaarheid zo snel mogelijk nadat je deze hebt ontdekt.
  • Leg duidelijk uit wat het probleem is, zodat we het snel kunnen oplossen. Meestal volstaat een IP-adres of URL en een korte beschrijving. Screenshots helpen ook. Hoe complexer het probleem, hoe meer informatie we nodig hebben.
  • Deel de gevonden kwetsbaarheid niet met anderen totdat het probleem is opgelost.
  • Deel je e-mailadres met ons, zodat we contact kunnen opnemen.    

#wat-wij-van-jou-verwachten

Gekopieerd naar het klembord!

  • Schadelijke software (malware) sturen.
  • Gegevens in onze website kopiëren, wijzigen of verwijderen.
  • Meer data downloaden dan nodig is om het lek aan te tonen.
  • Codes of informatie in systemen wijzigen.
  • Ons systeem meerdere keren of achter elkaar hacken.  
  • Kwetsbaarheden met anderen delen.
  • Onze website met brute force openbreken.
  • Denial of service (DOS-aanvallen) uitvoeren.
  • Social engineering (psychologische manipulatie) toepassen. 

#wat-mag-niet

Gekopieerd naar het klembord!

Je persoonsgegevens zijn bij ons in goede handen. De informatie die je met ons deelt, delen wij niet met anderen, tenzij de wet of een rechter dit vereist.

  • Je krijgt credits voor het melden van de kwetsbaarheid. We plaatsen je naam en de melding op onze Wall of Fame. Maar natuurlijk alleen als je daar toestemming voor geeft.

Na het melden van een kwetsbaarheid kun je dit van ons verwachten:

  • Binnen 5 werkdagen krijg je een reactie en laten we je weten wat we met je melding gaan doen. Als het veel tijd kost om het probleem op te lossen, krijg je tussendoor updates over de voortgang.
  • Je krijgt de kans om samen met ons te beslissen of en hoe het probleem openbaar wordt gemaakt. Let op: openbaarmaking doen we pas nadat het probleem is opgelost.  

#wat-je-van-ons-kunt-verwachten

Gekopieerd naar het klembord!

Praktische informatie

Via ons beveiligde berichtensysteem kun je een kwetsbaarheid aan ons melden. Wij vragen je om de volgende gegevens in de mail te zetten:

  • Naam (optioneel)
  • E-mailadres
  • Soort kwetsbaarheid, bijvoorbeeld:
    • Injectie
    • Gebroken authenticatie
    • Blootstelling van gevoelige gegevens
    • XML External Entities (XXE)
    • Beveiligingsconfiguraties
    • Cross-site scripting (XSS)
    • Gebroken toegangsbeheer
    • Onveilige deserialisatie
    • Beschikbaarheid
    • Integriteit
    • Vertrouwelijkheid
    • Anders
  • Een duidelijke omschrijving van de kwetsbaarheid
  • Een uitleg waarom de gevonden kwetsbaarheid het melden waard is

#kwetsbaarheid-melden

Gekopieerd naar het klembord!

Wij gaan zorgvuldig om met persoonsgegevens en de informatie die je met ons deelt. Lees hieronder waarom we sommige gegevens vragen en wat we hiermee doen.

  • Waarom wordt mijn naam en e-mailadres gevraagd?
    We vragen je naam en e-mailadres, zodat wij contact kunnen opnemen over de melding. Blijf je liever anoniem? Dan is dat geen probleem; het geven van je naam is niet verplicht. Een e-mailadres hebben wij wel nodig om contact op te nemen.
     
  • Hoe worden mijn gegevens verwerkt?
    We gebruiken jouw gegevens en informatie alleen om samen met jou het probleem op te lossen. Zodra het probleem is opgelost, anonimiseren wij jouw gegevens. Wij gebruiken een beveiligd berichtensysteem voor het ontvangen van de melding en delen jouw persoonsgegevens niet met derden. Tenzij de wet of een rechter dit vereist.
     
  • Wat zijn mijn rechten?
    Volgens de privacyregels heb je verschillende rechten. Lees hier meer over in onze privacyverklaring

#verwerking-persoonsgegevens

Gekopieerd naar het klembord!

Ons beleid is gebaseerd op de Leidraad Coordinated Vulnerability Disclosure van de NCSC en het voorbeeldbeleid van Floor Terra, dat is gepubliceerd onder een Creative Commons Naamsvermelding 3.0-licentie.

#oorsprong-beleid

Gekopieerd naar het klembord!