Defensie wil zich inspannen voor optimale veiligheid en hecht grote waarde aan de security van haar eigen ICT-systemen. Toch valt nooit uit te sluiten dat er zwakke plekken voorkomen.

Het optimaliseren van de veiligheid van ICT-systemen is een topprioriteit voor Radancy NL. Echter, omdat dergelijke systemen kwetsbaar blijven, kunnen mogelijke mazen en zwaktes niet volledig worden uitgesloten. Daarom zouden we graag van u horen als u een zwakheid heeft ontdekt in een van onze ICT-systemen. Wij zullen de veiligheidsproblemen dienovereenkomstig aanpakken, en daarom hanteren we het volgende beleid:

Wat we van u vragen:

• Om voldoende informatie te verschaffen om het veiligheidsprobleem te reproduceren, zodat Radancy NL het probleem snel kan oplossen. Vaak zal het IP-adres of de URL van het ICT-systeem en een beschrijving van de tekortkoming(en) voldoende zijn. Echter, bij complexere problemen kan een uitgebreide beschrijving noodzakelijk zijn.
• Om de informatie over het veiligheidsprobleem niet te delen totdat het is opgelost.
• Om verantwoordelijk en passend te handelen door niet meer acties uit te voeren dan noodzakelijk voor de identificatie van het veiligheidsprobleem.

Wat u moet melden:

• Gebroken authenticatie
• Omzeiling van ons kader voor privacy en toestemmingsmodellen
• Cross-Site Request Forgery (CSRF/XSRF)
• Persistente Cross-Site Scripting (XSS)
• Uitvoeren van externe code
• Denial of service door het versturen van een speciaal vervaardigd verzoek. Dit omvat niet een overbelasting van verzoeken of anderszins brute rekenkracht (zie ook "Meld dit alstublieft niet")

Wat u niet moet melden:

• Aanvallen die DNS-overname vereisen
• Clickjacking zonder demonstratie van impact
• Denial of Service-kwetsbaarheden door gebruik van een overbelasting van rekenkracht of verzoeken
• Configuratieproblemen van mail relay servers
• Ontbrekende of losjes geconfigureerde DNS SPF-records
• Ontbrekende DNSSEC
• Ontbrekende Public Key Pinning headers
• Ontbrekende of losjes geconfigureerde CSP-headers (ze zijn zo strikt mogelijk)
• Open Redirect via autodiscover effecten op autodiscover.maximum.nl
• Onderschepping van wachtwoordreset e-mails
• Openbaar toegankelijke inlogpagina's voor cms/admin-gebied. Let op dat /admin/ een nep inlogpaneel is dat geen kwetsbaarheidsscanning behoeft.
• Beveiligingskwetsbaarheden in applicaties van derden (zoals Kerio) die niet zijn gepatcht in de laatste versie
• Zelf-XSS
• Sociale hacking
• Openbaring van softwareversie
• Niet geïmplementeerde Subresource Integrity (SRI)
• Aanval op gebruikersnamenwoordenboek
• Verouderde versies van WordPress of WordPress-plugins binnen 30 dagen (we hebben tijd nodig om al onze websites bij te werken wanneer er een nieuwe versie uit is)
• XSS die verouderde browsers vereist
• Gestolen/gelekte inloggegevens door andere sites kunnen worden gemeld maar zullen geen financiële beloning hebben.
• Wij zijn niet verantwoordelijk voor gelekte accountgegevens op andere sites of wachtwoordbeheerders.
• Als u gelooft dat het lek afkomstig is van onze systemen, meld dit dan alstublieft!

Wat u kunt verwachten:

• Wanneer een tekortkoming in een van de betrokken activa dienovereenkomstig wordt gemeld volgens de hierboven vermelde voorwaarden, zal Radancy NL geen juridische gevolgen verbinden aan de melding.
• Radancy NL zal de melding vertrouwelijk verwerken en persoonlijke gegevens zonder toestemming niet delen met derden, tenzij dit wettelijk vereist is.
• Na overleg kan Radancy NL u erkennen door uw naam te publiceren als degene die dit specifieke veiligheidsprobleem heeft geïdentificeerd.

Binnen tien werkdagen zal de systeembeheerder van Radancy NL u een ontvangstbevestiging sturen. Binnen twintig werkdagen zal de systeembeheerder van Radancy NL u een evaluatie van het veiligheidsprobleem sturen. De systeembeheerder van Radancy NL zal u op de hoogte houden van de voortgang bij het oplossen van het veiligheidsprobleem. De systeembeheerder van Radancy NL zal proberen het veiligheidsprobleem zo snel mogelijk op te lossen, binnen een maximale termijn van 90 dagen. Na overleg met Radancy NL kan besloten worden of en hoe het opgeloste veiligheidsprobleem gepubliceerd wordt. Om u te bedanken, zal er een beloning worden aangeboden door Radancy NL. Deze beloning zal variëren afhankelijk van de ernst van het probleem en de kwaliteit van het rapport.

U kan uw bevindingen daar ook direct melden, of stuur een email naar responsible-disclosure@werkenbijdefensie.nl