Responsible disclosure

» English version

Mediawijzer.net wil de digitale weerbaarheid van Nederlanders vergroten en vraagt daarom regelmatig aandacht voor onderwerpen als online veiligheid, cybercrime en privacy.

Uiteraard vinden we dat onze eigen informatiesystemen ook veilig moeten zijn. Desondanks kan het voorkomen dat er een zwakke plek is (of is ontstaan) in de beveiliging van deze website.

Heeft u een zwakke plek heeft gevonden? Laat het ons zo snel mogelijk weten, zodat wij het kunnen oplossen. Wij nemen meldingen altijd serieus en zullen elk vermoeden van een kwetsbaarheid uitzoeken.

Deze responsible disclosure is overigens geen uitnodiging om de website uitgebreid te scannen en te testen op zwakke plekken: dit wordt regelmatig door onszelf gedaan.

Wij vragen u:

  • De bevindingen op een vertrouwelijke manier te mailen naar info@mediawijzer.net.
  • Voldoende informatie te geven om het probleem te traceren en/of te reproduceren. Het IP-adres of de URL van het getroffen systeem, plus een omschrijving van de kwetsbaarheid zijn vaak al voldoende. Bij complexere kwetsbaarheden kan meer informatie nodig zijn.
  • Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan strikt noodzakelijk is om het lek aan te tonen.
  • Geen gegevens van het systeem te kopiëren, wijzigen of verwijderen.
  • Het probleem niet met anderen te delen totdat het is opgelost.
  • Geen ‘brute force’ of ‘denial of service’ uit te voeren.
  • Uw contactgegevens (e-mail en telefoonnummer) achter te laten zodat we contact kunnen opnemen voor snelle samenwerking.
  • Alle vertrouwelijke gegevens direct te wissen nadat het lek is gedicht.

Voldoet uw melding aan deze voorwaarden? Dan mag u dit van ons verwachten:

  • Wij reageren binnen 3 werkdagen met een beoordeling van de melding en een verwachte datum voor een oplossing.
  • Wij houden u op de hoogte van de voortgang van het proces.
  • Wij behandelen uw melding vertrouwelijk. Wij delen uw persoonlijke gegevens niet met derden zonder uw toestemming, tenzij het noodzakelijk is om een wettelijke verplichting na te komen.
  • Een toevallige ontdekking van een kwetsbaarheid in onze online omgevingen zal niet tot aangifte leiden.
  • Wij vermelden uw naam als ontdekker in berichtgeving over het probleem, mits u dit wenst.
  • Als dank voor het melden van een nog onbekende zwakke plek kunt u in aanmerking komen voor een beloning, mits uw melding aan bovenstaande voorwaarden voldoet en het daadwerkelijk een kwetsbaarheid betreft. Indien meerdere problemen worden gemeld door dezelfde persoon of partij is er één beloning beschikbaar. Indien meerdere personen of partijen melding maken van hetzelfde probleem is er alleen een beloning beschikbaar voor de eerste melder. De grootte van de beloning bepalen we aan de hand van de ernst van het probleem en de kwaliteit van de melding tot maximaal een bedrag van 300 euro aan cadeaubonnen.

We werken graag met u samen om de veiligheid van onze site nog beter te kunnen beschermen. Wij streven er naar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.

Deze Responsible Disclosure is gebaseerd op de tekst van Floor Terra, gepubliceerd onder een Creative Commons Naamsvermelding 3.0 licentie.