Hoe meldt u een kwetsbaarheid?

Stuur een e-mail naar informatiebeveiliging@zorgenzekerheid.nl met 'coordinated vulnerability discosure' of 'CVD' als onderwerp. U kunt ook melding maken onder een pseudoniem. Het is belangrijk dat u:

• zoveel mogelijk gedetailleerde informatie vermeldt zodat de kwetsbaarheid gereproduceerd kan worden. Noem hierbij minimaal het IP-adres of de URL (link van de webpagina) van de dienst waar het over gaat;
• een ontdekte kwetsbaarheid niet verder misbruikt dan nodig is om deze aan te tonen;
• geen eigen 'backdoor’ in een informatiesysteem plaatst om daarmee de kwetsbaarheid aan te tonen;
• geen gegevens kopieert, wijzigt of verwijdert. Stuur ons alleen de gegevens die nodig zijn om de kwetsbaarheid te tonen. Maak hiervoor bijvoorbeeld een directory listing of screenshot;
• pogingen om toegang tot het systeem te krijgen zoveel mogelijk beperkt;
• uw bevindingen niet met anderen deelt tot dekwetsbaarheid is verholpen en eventueel verkregen data verwijdert;
• geen gebruikmaakt van offensieve aanvalstechnieken zoals social engineering, DDOS, brute force technieken, spam of applicaties van derden.

Hoe werkt het daarna?

• We reageren binnen vijf werkdagen op uw melding.
• We behandelen uw melding en persoonsgegevens vertrouwelijk.
• We ondernemen geen juridische stappen tegen over de melding als u zich aan bovenstaande voorwaarden heeft gehouden.
• We houden u op de hoogte van de voortgang van het oplossen van het probleem.
• In eventuele berichtgeving over het probleem zullen wij, als u dat wilt, uw naam vermelden als ontdekker.

Als dank voor uw hulp bieden wij een beloning voor elke melding van een ons nog onbekend kwetsbaarheid met de classificatie 'kritiek/hoog'. De hoogte van de beloning bepalen wij onder andere aan de hand van de ernst van het lek en de kwaliteit van de melding. We maken de beloning over op uw IBAN. 

We streven ernaar om alle problemen zo snel mogelijk op te lossen en worden graag betrokken bij eventuele publicatie over de kwetsbaarheid nadat deze is opgelost.