Meld kwetsbaarheid

Herzien op 28 maart 2023

Het Platform Internetstandaarden vindt de veiligheid van de Internet.nl-website heel belangrijk. Ondanks onze zorg voor de beveiliging kan het voorkomen dat er toch een kwetsbaarheid wordt gevonden.

Heb je een zwakke plek gevonden in de Internet.nl-website? Je kunt er bijvoorbeeld per ongeluk tegenaan zijn gelopen bij het normale gebruik van deze site. Misschien heb je zelfs je best gedaan om een zwakke plek te vinden. Laat het ons in elk geval weten, zodat we zo snel mogelijk maatregelen kunnen nemen.

Dit is overigens geen uitnodiging om onze site uitgebreid te scannen en te testen om zwakke plekken te vinden. Dat doen we zelf wel.

We werken graag met je samen om de veiligheid van onze website nog beter te kunnen beschermen. Wij nemen je melding altijd serieus wanneer deze voldoet aan de voorwaarden van ons Coordinated Vulnerability Disclosure beleid, en onderzoeken elk vermoeden van een kwetsbaarheid.

In ons onderstaande beleid over Coordinated Vulnerability Disclosure maken we duidelijk wat we je vragen en wat wij beloven als je bij ons een kwetsbaarheid meldt.

Wij vragen je om:

  • je bevindingen zo snel mogelijk naar ons te sturen per e-mail of via een GitHub security advisory;
  • als je ons een e-mail stuurt, de e-mail bij voorkeur te versleutelen met onze PGP-sleutel;
  • voldoende informatie te geven om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen;
    meestal is het IP-adres of de URL, met een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer informatie nodig zijn;
  • geen tests uit te voeren die gebruikmaken van aanvallen op fysieke beveiliging, social engineering of applicaties van derden;
  • geen brute force of denial of service uit te voeren;
  • de kwetsbaarheid niet te misbruiken door bijvoorbeeld het veranderen of verwijderen van gegevens of het plaatsen van malware;
  • het probleem ook niet met anderen te delen totdat we het hebben opgelost;
  • geen gegevens van onze systemen te kopiëren, anders dan absoluut noodzakelijk om het lek aan te tonen;
  • contactgegevens (e-mailadres en telefoonnummer) achter te laten zodat we contact met je kunnen opnemen om samen te werken aan een veilig resultaat.

Wij beloven:

  • binnen drie werkdagen te reageren op je melding met de beoordeling van de melding en een verwachte datum voor een oplossing;
  • je melding vertrouwelijk te behandelen: we delen je persoonlijke gegevens niet zonder je toestemming; uitzondering hierop zijn politie en justitie, in geval van aangifte of als gegevens worden opgeëist;
  • je op de hoogte te houden van de voortgang bij het oplossen van het probleem;
  • in berichtgeving omtrent het gemelde probleem je naam te vermelden als ontdekker, als je dat wenst;
  • dat een toevallige ontdekking van een kwetsbaarheid niet tot aangifte tegen je zal leiden, zolang je je aan de spelregels houdt en je in de geest van Coordinated Vulnerability Disclosure gedraagt;
  • als dank voor je hulp geven we je een mooi t-shirt voor elke waardevolle melding van een ons nog onbekend beveiligingsprobleem; dat is misschien geen grote beloning, maar we willen het actief scannen naar kwetsbaarheden niet aanmoedigen.

Uitsluitingen:

Omdat onze tijd schaars is en we geen gratis t-shirtwinkel zijn, vragen we je:

  • om geen triviale bevindingen te melden waarvoor geen exploits bekend zijn en/of die niet of nauwelijks risico tot gevolg hebben;
  • om bevindingen van geautomatiseerde vulnerability scanning tools niet blind te melden. Kopieer en plak geen bevindingen in een e-mail, maar probeer eerst de aard van onze website te begrijpen voordat je iets meldt;
  • om je te realiseren dat onze tools als open source software beschikbaar zijn en door anderen kunnen worden hergebruikt. We kunnen geen verantwoordelijkheid dragen voor de implementatie door deze andere partijen.

Hieronder staan enkele voorbeelden van bevindingen die je niet bij ons hoeft te melden. Meld je ze toch, dan zullen we daarvoor geen beloning toekennen en mogelijk niet reageren op je e-mail.

  • Kwetsbaarheden op andere domeinen dan internet.nl;
  • Header information disclosures;
  • SSRF-kwetsbaarheid (het gaat hier niet om een kwetsbaarheid maar om bewuste functionaliteit die nodig is voor de goede werking van Internet.nl.);
  • Publiek toegankelijke bestanden of mappen met niet-gevoelige informatie (zoals robots.txt of afbeeldingen);
  • Ontbrekende standaarden die Internet.nl zelf niet promoot (zoals MTA-STS);
  • Vermeende afwijkingen die wél voldoen aan de testnorm die Internet.nl zelf hanteert (zoals voor security headers).