Melding maken van een kwetsbaarheid
Als u een kwetsbaarheid heeft gevonden in een systeem van Z-CERT of een van de deelnemers waarvoor wij het CVD-proces afhandelen, horen wij dit graag. Dan kunnen wij zo snel als mogelijk maatregelen treffen. Z-CERT wil graag met u samenwerken om onze deelnemers en systemen nog beter te kunnen beschermen.
Wanneer u via ons Coordinated Vulnerability Disclosure-beleid kwetsbaarheden aan ons meldt, dan hebben wij geen reden om juridische consequenties te verbinden aan uw melding:
- Verzeker u ervan dat uw melding ‘in scope’ is. Onderaan deze pagina kunt u controleren wat als niet ‘in scope’ wordt beschouwd.
- U meldt uw bevindingen veilig via deze link. Of u maakt gebruik van het volgende mail-template en verstuurt dat versleuteld met Z-CERT’s publieke PGP-sleutel.
- In uw melding geeft u voldoende informatie, zodat het probleem te reproduceren is. Op die manier kunnen wij het zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden is soms meer informatie gewenst/noodzakelijk. U kunt een proof of concept meesturen.
- U misbruikt de geconstateerde kwetsbaarheid niet door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of door gegevens van derden in te zien, te verwijderen of aan te passen.
Als u vermoedt dat u via een kwetsbaarheid medische gegevens kan inzien vragen wij u dit niet zelf te verifiëren maar dit door ons te laten doen. - U deelt uw bevindingen niet met anderen, voordat het is opgelost. Daarnaast vragen we u om alle vertrouwelijke gegevens die u heeft verkregen, na het dichten van het lek, direct te wissen.
- U doet geen aanval(len) op onze (fysieke) beveiliging en maakt geen gebruik van social engineering, (distributed) denial of service, spam, brute-force aanvallen en/of applicaties van derden.