Kwetsbaarheden melden
Wij vinden de veiligheid van onze systemen erg belangrijk. Ontdekt u een kwetsbaarheid in onze systemen? Help ons dan door deze kwetsbaarheid te melden. Zo kunnen we samen de veiligheid en betrouwbaarheid van onze systemen verbeteren.
Onze specialisten gaan meteen met uw melding aan de slag. En geven u zo snel mogelijk een reactie. Tijdens het onderzoek vragen we u voorzichtig om te gaan met uw resultaten.
Welke kwetsbaarheden kunt u melden
Voorbeelden van kwetsbaarheden die u kunt melden:
- remote code execution: opdracht geven om volledige toegang te krijgen tot een netwerksysteem of server
- cross-site scripting (XSS): het invoegen van schadelijke scripts in websites en programma’s
- cross-site request forgery (CSRF): een gebruiker misleiden om een online verzoek toe te staan
- SQL-injectie: het veranderen en openen van database-informatie die normaal niet te zien is voor websitegebruikers
- kwetsbaarheden met betrekking tot encryptie: een sleutel of code geven aan gegevens
- ongeautoriseerde toegang tot gegevens: het delen van gegevens zonder dat hier toestemming voor gegeven is
Hoe meldt u een kwetsbaarheid
Als u een kwetsbaarheid gevonden heeft, vragen wij u om deze niet verder te gebruiken. En de informatie ook niet te delen met anderen.
Wordt geladen
- Richt geen schade aan
- Zorg niet voor onderbreking van onze online dienstverlening
- Maak geen gebruik van social engineering (zoals personen vertrouwelijke gegevens laten delen) om toegang te krijgen tot onze systemen
- SVB-gegevens of klantgegevens niet openbaar te maken
- Geen backdoor in een systeem te plaatsen, ook niet om de kwetsbaarheid aan te tonen
- Geen wijzigingen of verwijderingen van gegevens in het systeem te doen
- Kopieer nooit meer gegevens dan nodig is
- Niet meerdere keren toegang tot het systeem proberen te krijgen
- De toegang tot systemen te delen met anderen
- Wachtwoorden niet meerdere keren te proberen om toegang tot onze systemen te krijgen (bruteforce-technieken)
We gebruiken uw persoonsgegevens alleen om aan uw melding te werken. We geven uw persoonsgegevens niet zonder uw toestemming aan anderen. We doen dit alleen als we op grond van de wet uw gegevens moeten geven. Of als we een ander bedrijf inschakelen om uw melding verder te onderzoeken. We zorgen er altijd voor dat zij uw gegevens ook geheim houden.
Kwetsbaarheden die u niet hoeft te melden zijn:
- alle meldingen zonder een duidelijk rapport met bewijs
- kwetsbaarheden gevonden op sites van organisaties die niet langer onderdeel zijn van SVB
- ons beleid over de aanwezigheid of afwezigheid van kenmerken om de echtheid van e-mails te bepalen, zoals SPF, DKIM of DMARC records
- cross-site request forgery (CSRF) kwetsbaarheden op blijvende pagina’s, alleen op pagina’s na inloggen
- omleidingen van onbeveiligde pagina’s (HTTP) naar beveiligde pagina’s (HTTPS)
- geen gebruik maken van beveiliging tegen aanvallen, namelijk HTTP Strict Transport Security (HSTS)
- bezoekers ergens op te laten klikken wat ze niet bedoelen: clickjacking
- de afwezigheid van de optie om vensters in te laden op niet inlogpagina’s: X-Frame-Options
- mogelijk verouderde versies van een server of programma (van externe partijen) zonder bewijs dat deze versies kwetsbaar zijn
- rapporten van onveilige SSL protocollen of TLS protocollen en andere verkeerde instellingen
- Distributed Denial of Service (DDoS) aanvallen: pogingen om een computer, computernetwerk of dienst niet of moeilijker bereikbaar te maken voor de klanten
- spam technieken, zoals het sturen van grote aantallen e-mails
- social engineering technieken, zoals ervoor zorgen dat personen vertrouwelijke gegevens delen
- rapporten van gewone scans, zoals poortscanners
- Het indienen van klachten over onze dienstverlening of producten
- Vragen of klachten over de beschikbaarheid van onze websites
- Het melden van problemen over onze betalingen
- Fraudemeldingen of vermoedens van fraude melden
- Het melden van nepmails of phishing e-mails
We vragen u om gevonden kwetsbaarheden aan ons te melden. U kunt hier misschien een beloning voor ontvangen. Het bedrag hangt af van:
- de ernst van het probleem
- het soort website: is het een blijvende informatieve website of online SVB website
- de kwaliteit van uw rapport
Als het rapport heel belangrijk is voor onze betrouwbaarheid, zal de beloning hoger zijn. Beloningen worden niet gegeven als blijkt dat er sprake is van misbruik.