Responsible disclosure

Bij de Vrije Universiteit vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging kan het voorkomen dat er toch een zwakke plek is. Indien u  een zwakke plek in één van onze systemen heeft gevonden, horen wij dit graag, zodat we zo snel mogelijk maatregelen kunnen treffen.

Ons beleid voor responsible disclosure is geen uitnodiging om ons bedrijfsnetwerk uitgebreid actief te scannen om zwakke plekken te ontdekken. Wij monitoren ons bedrijfsnetwerk zelf.

Wij willen graag met u samenwerken om onze klanten en onze systemen beter te kunnen beschermen.

Wij vragen u:

  1. Uw bevindingen onder vermelding van ‘Responsible Disclosure’ aangevuld met de naam van de omgeving of systeem zo snel mogelijk na de ontdekking van de kwetsbaarheid te mailen naar socc.secure@vu.nl.
  2. Per mail mag er slechts één melding worden gedaan. Hierin dient voldoende informatie te staan om het probleem te reproduceren, aangegeven te worden wat het risico is en dient tevens een voorstel voor een oplossing te worden gegeven.
  3. Meldingen in tekst, voorzien van een Proof of Concept (POC) en ondersteund door maximaal 1 afbeelding. Rich text, ZIP-bestanden en filmpjes worden niet geaccepteerd.
  4. De informatie over het beveiligingsprobleem niet met anderen te delen totdat het is opgelost.
  5. Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.

Vermijd in elk geval de volgende handelingen:

  1. Het plaatsen van malware.
  2. Het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
  3. Het aanbrengen van veranderingen in het systeem.
  4. Het herhaaldelijk pogen toegang tot het systeem verkrijgen of de toegang delen met anderen.
  5. Het gebruik maken van het zogeheten 'bruteforcen' of 'hammering' van toegang tot systemen.
  6. Het gebruik maken denial-of-service of social engineering.

Wat wij beloven:

  1. Indien u bij de melding van een door u geconstateerde kwetsbaarheid in een ICT-systeem van de Vrije Universiteit Amsterdam aan bovenstaande voorwaarden voldoet, zullen wij geen juridische consequenties verbinden aan deze melding.
  2. Wij behandelen een melding vertrouwelijk en delen persoonlijke gegevens niet zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  3. In bijzondere gevallen en in onderling overleg kunnen wij, indien u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.
  4. Wij sturen u z.s.m. een ontvangstbevestiging.
  5. Wij houden u op de hoogte van de voortgang van het oplossen van het probleem.
  6. Als dank voor uw hulp kunnen wij voor elke melding van een voor ons nog onbekend beveiligingsprobleem een beloning uitloven.

Wij streven ernaar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.