Bij Knab vinden we het belangrijk dat onze klanten veilig gebruik kunnen maken van onze dienstverlening. Heb je een zwakke plek ontdekt? Dan zou het heel fijn zijn als je dit eerst aan ons meldt, voordat je het wereldkundig maakt. Zo hebben wij de kans om op tijd maatregelen te nemen en een oplossing te zoeken, voordat eventuele kwaadwillenden er misbruik van kunnen maken en klanten geraakt kunnen worden. Wij noemen dit Responsible Disclosure.

Heb je een zwakke plek ontdekt in onze website, onze app of een van onze internetdiensten? Help ons dan door dit zo snel mogelijk bij ons te melden. We werken dan graag met jou samen om onze klanten en systemen beter te beschermen. Voorbeelden van kwetsbaarheden die je kunt melden:

  • Cross-Site Scripting (XSS) kwetsbaarheden
  • SQL injectie kwetsbaarheden
  • Zwakheden in inrichting beveiligde verbinding

Maak het probleem niet openbaar, het risico is dat kwaadwillenden dit dan kunnen uitbuiten. Praat met onze experts en geef hen de tijd om het probleem op te lossen. Wij laten je zo snel mogelijk weten wat we met de melding hebben gedaan en - indien nodig - welke maatregelen we nemen.

Zo meld je een beveiligingslek

Je kunt jouw bevindingen mailen naar responsible-disclosure@knab.nl. Stuur daarbij de volgende informatie mee:

  • Een uitgebreide beschrijving van het probleem
  • IP-adressen, logs en screenshots
  • Aanwijzingen waarmee wij het voorval kunnen reproduceren

Stuur ook je contactgegevens mee, zoals een telefoonnummer. Zo kunnen wij eventueel contact met je opnemen voor aanvullende informatie. Melden onder een pseudoniem is mogelijk. We behandelen je melding alleen als deze in het Nederlands of Engels is geschreven.

Wat doen wij met je melding?

Een team van beveiligingsexperts onderzoekt je melding. Binnen 3 werkdagen sturen we je een ontvangstbevestiging. Binnen 10 werkdagen geven we een reactie op de inhoud van je melding.

Geen strafrechtelijke vervolging

Als jij je aan de spelregels van onze Responsible Disclosure houdt, zullen wij geen juridische stappen tegen je ondernemen betreffende de melding.

Wij respecteren jouw privacy

Wij behandelen jouw melding vertrouwelijk en zullen jouw persoonlijke gegevens niet zonder jouw toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.

Houd je aan onze spelregels

Zorg dat je tijdens het onderzoeken van een beveiligingslek geen schade aanricht. In geen geval mag je onderzoek leiden tot onderbreking van onze dienstverlening of openbaarmaking van onze gegevens in elke vorm. Houd je aan de volgende regels om te voorkomen dat je strafbare handelingen verricht:

  • Maak geen gebruik van aanvallen op de fysieke beveiliging, social engineering, 'brute force', distributed denial of service, stress-testers, security-scanners, spam, tegen onze applicaties of tegen applicaties van derden.
  • Plaats geen backdoor in een informatiesysteem om daarmee het beveiligingslek aan te tonen. Dat kan leiden tot aanvullende schade en onnodige veiligheidsrisico’s.
  • Maak minimaal gebruik van een beveiligingslek. Doe het hoogstnoodzakelijke om het beveiligingslek vast te stellen. Deel de verkregen toegang niet met anderen.
  • Misbruik het probleem niet door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of om gegevens van derden in te kijken, te verwijderen of aan te passen.
  • Probeer niet herhaaldelijk toegang tot het systeem te verkrijgen.

Oplossing

Het kan gebeuren dat er geen mogelijkheid is (op korte termijn) om het beveiligingslek op te lossen. Wij vragen jou dit dan niet alsnog openbaar te maken. Dit geldt ook als jij niet tevreden bent met de geboden oplossing.

Beloning

Wij kunnen je een beloning geven voor je onderzoek naar onbekende beveiligingsproblemen, maar zijn hiertoe niet verplicht. De vorm van deze beloning staat niet van tevoren vast en wordt door ons per geval bepaald. Of we een beloning geven en de vorm waarin dat gebeurt, hangt af van de zorgvuldigheid van je onderzoek, de kwaliteit van de melding en de ernst van het onbekende lek. Beloningen bestaan uit niet-monetaire vergoedingen.

Alvast bedankt!

Wij streven ernaar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.