Responsible Disclosure

See English version

Defensie wil zich inspannen voor optimale veiligheid en hecht grote waarde aan de security van haar eigen ICT-systemen. Toch valt nooit uit te sluiten dat er zwakke plekken voorkomen.

Als u een zwakke plek heeft gevonden in werkenbijdefensie.nl, horen we dat graag van u. We zullen dan zo snel mogelijk maatregelen nemen en hanteren hiervoor het volgende beleid.

Wij vragen u:

  • Uw bevindingen te mailen naar sysop@werkenbijdefensie.nl. Versleutel de bevindingen indien mogelijk met de PGP-sleutel van sysop@werkenbijdefensie.nl om te voorkomen dat de informatie in verkeerde handen valt.
  • Voldoende informatie te geven om het probleem te reproduceren, zodat Defensie het zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • Contactgegevens achter te laten zodat Defensie contact met u kan opnemen; dit kan een e-mailadres of telefoonnummer zijn.
  • De informatie over het beveiligingsprobleem niet met anderen te delen totdat het is opgelost.
  • Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.

Rapporteer wel:

  • Persistent Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF/XSRF)
  • Niet werkende authenticatie
  • Het kunnen omzeilen van ingestelde privacy / rechten 
  • Remote Code Execution

Rapporteer geen:

  • Username dictionairy attack
  • Self-XSS
  • Missende / niet streng geconfigureerde DNS SPF records
  • Social hacking
  • Publiek toegankelijke login pagina's voor admin/cms omgevingen
  • Veiligheidsproblemen in third-party apps (zoals Kerio) die niet opgelost zijn in de laatste versie
  • Denial of Service Vulnerabilities
  • Missende HSTS header
  • Missende DNSSEC
  • Missende CSP header
  • Aanvallen waarbij een DNS takeover nodig is

Vermijd dus in elk geval de volgende handelingen:

  1. het plaatsen van malware.
  2. het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor    is het maken van een directory listing van een systeem).
  3. het aanbrengen van veranderingen in het systeem.
  4. het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
  5. het gebruikmaken van het zogeheten “bruteforcen” van toegang tot systemen.
  6. het gebruikmaken van denial-of-service of social engineering.

Wat u mag verwachten:

  • Indien u bij de melding van een door u geconstateerde kwetsbaarheid in werkenbijdefensie.nl  aan bovenstaande voorwaarden voldoet, zal Defensie geen juridische consequenties verbinden aan deze melding.
  • We behandelen de melding vertrouwelijk en delen persoonlijke gegevens niet zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • In onderling overleg kan Defensie, indien u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.
  • De beheerder van werkenbijdefensie.nl stuurt u binnen 1 werkdag een ontvangstbevestiging.
  • De beheerder van werkenbijdefensie.nl reageert binnen 3 werkdagen op een melding met de beoordeling van de melding en een verwachte datum voor een oplossing.
  • De beheerder van werkenbijdefensie.nl houdt de melder op de hoogte van de voortgang van het oplossen van het probleem.
  • De beheerder van werkenbijdefensie.nl lost het door u geconstateerde beveiligingsprobleem in een systeem zo snel mogelijk, maar uiterlijk binnen 60 dagen, op.
  • Defensie biedt een beloning als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem, de kwaliteit van de melding en of het probleem al eerder gemeld is, kan de hoogte van de beloning variëren.

De public key voor het verzenden van versleutelde e-mails naar sysop@werkenbijdefensie.nl:

-----BEGIN PGP PUBLIC KEY BLOCK-----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=dPb5
-----END PGP PUBLIC KEY BLOCK-----

Responsible disclosure

Optimizing safety when it comes to the ICT systems is a top priority for the Dutch Ministry of Defense. However, as such systems remain vulnerable, possible loopholes and weaknesses cannot be eliminated. 

Hence, we would love to hear from you if you have found a weakness in one of our ICT systems. We will handle the safety issues accordingly, and therefore we make use of the following policy: 

What we ask of you:

  • To email your findings to sysop@werkenbijdefensie.nl. If possible, encrypt the email with the PGP-key of sysop@werkenbijdefensie.nl. This will prevent the wrong people benefitting from the information.
  • To provide enough information to reproduce the safety issue, ensuring that the Dutch Ministry of Defense can solve the problem quickly. More often than not, the IP-address or the URL of the ICT system and a description of the shortcoming(s) will be enough. However, when it is a more complex problem, an elaborate description could be necessary. 
  • To provide your contact details, either an email address or a phone number, so the Dutch Ministry of Defense can contact you. 
  • To not share the information regarding the safety issue until it has been solved.
  • To act responsibly and accordingly by not executing more than necessary actions required for the identification of the safety issue. 

Please do report:

  • Persistent Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF/XSRF)
  • Broken Authentication
  • Circumvention of our framework's privacy and permission models
  • Remote Code Execution

Please do not report:

  • Username dictionairy attack
  • Self-XSS
  • Missing / loosely configured DNS SPF records
  • Social hacking
  • Publicly accessible login pages for cms/admin area's
  • Security vulnerabilities in third-party applications (like Kerio) that are not patched in the latest version
  • Denial of Service Vulnerabilities
  • Missing HSTS header
  • Missing DNSSEC
  • Missing CSP header
  • Attacks requiring DNS takeover

Whatever you do, please avoid the following actions:

  1. Spreading or distributing malware. 
  2. Copying, changing or deleting data in the system (an alternative would be making a directory listing of the system).
  3. Changing the system.
  4. Repeatedly acquiring access to the system or sharing the access with others. 
  5. Making use of “bruteforcing” the access to the system.
  6. Making use of a denial-of-service or social engineering.

What you can expect: 

  • When a shortcoming in werkenbijdefensie.nl is reported accordingly to the above stated terms and conditions, the Dutch Ministry of Defense will not articulate any legal consequences to the notification. 
  • The Dutch Ministry of Defense will process the report confidentially and no personal details without permission will be shared with third parties, unless this is a legal requirement. 
  • After consultation, the Dutch Ministry of Defense can acknowledge you by publishing your name as the one who identified this particular safety issue.  
  • Within one working day, the system operator of werkenbijdefensie.nl will send you a confirmation of receipt.
  • Within three working days, the system operator of werkenbijdefensie.nl will send you an evaluation of the safety issue. This will include an estimation of the time that it will take to solve the problem. 
  • The system operator of werkenbijdefensie.nl will keep you updated on the progress of solving the safety issue. 
  • The system operator of werkenbijdefensie.nl will try to resolve the safety issue as soon as possible, within a maximum time period of 60 days.
  • To thank you, a reward will be offered by the Dutch Ministry of Defense. This reward will vary depending on the seriousness of the issue, the quality of the report and whether the issue has been reported before. 

The public key for sending encrypted emails to sysop@werkenbijdefensie.nl:

-----BEGIN PGP PUBLIC KEY BLOCK-----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=dPb5
-----END PGP PUBLIC KEY BLOCK-----