Als je een zwakke plek vindt in één van onze systemen, dan horen wij dat graag van je. Zo kunnen we snel maatregelen treffen. Wij willen met je samenwerken om onze klanten en onze systemen beter te kunnen beschermen.
Wij vragen je:
- je bevindingen te mailen naar cert@freedomnet.nl. Gebruik dan alsjeblieft PGP met onze public key (EADA8307) die je hier kunt vinden;
- het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen. Of door gegevens van derden in te kijken, deze te verwijderen of aan te passen;
- het probleem niet met anderen te delen, totdat het is opgelost. En natuurlijk ook om alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek te wissen;
- geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden, en;
- ons voldoende informatie te geven om het probleem te reproduceren. Zo kunnen wij het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij complexere kwetsbaarheden kan meer informatie nodig zijn.
Wij beloven je:
- dat wij binnen 5 werkdagen reageren op je melding met onze beoordeling daarvan en een verwachte datum voor een oplossing;
- geen juridische stappen tegen je zullen ondernemen in verband met de melding, als je blijft voldoen aan onze bovengestelde voorwaarden;
- de melding vertrouwelijk te behandelen. Ook zullen wij jouw persoonlijke gegevens niet zonder jouw toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. (Melden onder een pseudoniem is mogelijk);
- dat wij je op de hoogte houden van de voortgang van onze oplossing;
- als dank voor je hulp zetten we je graag op onze Hall of Fame (maar alleen als je dat wilt natuurlijk). Mocht je een kritiek en voor ons onbekend beveiligingsprobleem hebben gevonden dan bieden we je een beloning aan. De grootte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding met in ieder geval een appeltaart :-).
Wij streven er naar om alle problemen zo snel mogelijk op te lossen. Als er over het probleem - nadat het is opgelost - wordt gepubliceerd, dan willen we daarbij graag betrokken zijn.
Onze tekst is gebaseerd op de tekst van Floor Terra, gepubliceerd onder een Creative Commons Naamsvermelding 3.0 licentie. Deze is te vinden via https://responsibledisclosure.nl
NB: de term 'Responsible Disclosure' is vervangen door 'Coordinated Vulnerability Disclosure'. De Leidraad van de NCSC is op hun website te vinden.