Meld kwetsbaarheden

Welke kwetsbaarheden kan ik melden?

Je kunt problemen melden die te maken hebben met onze online dienstverlening. Bijvoorbeeld:

• Cross-site scripting
• SQL-injectie
• Cross-site Request Forgery (CSRF)
  

Goed om te weten

Heb je een valse e-mail, SMS, of brief ontvangen of wil je een andere soort fraude melden?

Meld hier fraude en incidenten

Hoe meld je een kwetsbaarheid?

Iedereen kan een kwetsbaarheid melden. Ook als je geen klant bij ons bent. Hiervoor gebruik je ons formulier op HackerOne. Bekijk ook eens ons HackerOne-programma en lees hoe je lid kunt worden.

Anoniem melden

• Je kunt een kwetsbaarheid ook anoniem aan ons melden (in het Nederlands of Engels). Mail dan naar responsible-disclosure@devolksBank.nl vanaf een willekeurig e-mailadres. Gebruik daarbij bij voorkeur onze publieke PGP-sleutel.
• Zet in je e-mail genoeg informatie waarmee we de kwetsbaarheid kunnen reproduceren en verifiëren. Bijvoorbeeld een specifieke URL, een stappenplan of een ‘proof of concept’. Houd er rekening mee dat we je bij een anonieme melding geen beloning kunnen geven.

Beloning bij melden via HackerOne

We geven je via HackerOne een passende vergoeding als we dankzij jouw melding kwetsbaarheden verhelpen of onze dienstverlening aanpassen. Wij beslissen of je voor een beloning in aanmerking komt. Op de HackerOne-pagina lees je hoe we het bedrag van een beloning bepalen. Melden anderen dezelfde kwetsbaarheid? Dan is de vergoeding voor de eerste melder.

De spelregels

We zijn blij als je scherp bent op kwetsbaarheden en die aan ons meldt, maar we vinden het ook belangrijk dat al onze klanten ongestoord en veilig online kunnen bankieren. Daarom hebben we een paar spelregels.

Veroorzaak geen schade en verstoor onze dienstverlening niet als je een kwetsbaarheid of beveiligingsprobleem onderzoekt

• Hacktools, zoals kwetsbaarheidsscanners of detectiescanners (bijvoorbeeld Acunetix, Appscan, Rapid7 AppSpider, Burp Suite Pro-actieve scanner, DirBuster, Nessus, Netsparker, Nikto, OpenVAS), mag je alleen gebruiken als je vooraf toestemming en instructies van ons hebt gekregen.
• Gebruik tijdens het testen maximaal 1 gelijktijdige verbinding of thread.
• Breng geen of zo beperkt mogelijk wijzigingen aan in onze systemen, alleen wat nodig is om een kwetsbaarheid te bewijzen.
• Gegevens uit het systeem mogen niet worden gewijzigd of verwijderd.
• We bieden geen testaccounts.

Verstoor andere gebruikers niet, houd hun gegevens veilig

• Communiceer alleen met eigen accounts of met accounts waarvoor je expliciete toestemming van de accounthouder hebt gekregen.
• Handel integer: voorkom privacyschendingen en vernietiging van gegevens. Zorg ervoor dat onze dienstverlening niet onderbreekt of aantast.
• Geef nooit klant- of bedrijfsgegevens door aan anderen.
• Wees terughoudend bij het kopiëren van gegevens.
• Voer geen enkele actie uit die een andere gebruiker opmerkt. Deel bijvoorbeeld geen test op een openbaar forum, in de commentaren op een openbare pagina of via een DM naar een andere gebruiker.
• Als je het ASN Bank Forum wilt testen, vraag dan eerst toegang tot de speciale testforumgroep via responsible-disclosure@devolksBank.nl.
• Heb je per ongeluk iets gepubliceerd? Of heb je een verstoring of andere schade veroorzaakt? Neem dan meteen contact met ons op via responsible-disclosure@devolksBank.nl.

Sociale, fysieke en bruteforce-testen

Een aantal testen mogen echt niet:

• Alle vormen van Denial of Service (DoS), bruteforcing en enumeratie.
• Social engineering (bijvoorbeeld phishing, vishing, smishing).
• Aanvallen op onze fysieke beveiliging.

Maak geen misbruik van een kwetsbaarheid

• Maak minimaal gebruik van een zwakke plek. Doe alleen dat wat er moet gebeuren om de kwetsbaarheid vast te stellen.
• Deel de kwetsbaarheid niet met andere partijen dan de Volksbank totdat de kwetsbaarheid is opgelost.
• Praat met onze experts en geef ons de tijd om het probleem op te lossen.
• Plaats geen achterdeur in een informatiesysteem om de kwetsbaarheid te bewijzen.