Kwetsbaarheden melden

Heeft u een zwakke plek ontdekt in onze systemen? Dan horen we dat graag. Met uw hulp kunnen we onze diensten verbeteren.

Welke kwetsbaarheden kan ik melden?

U kunt problemen melden die te maken hebben met onze online dienstverlening. Bijvoorbeeld:

  • Cross-site scripting
  • SQL-injectie
  • Cross-site Request Forgery (CSRF)

Goed om te weten: Heeft u een valse e-mail, sms of brief (phishing) ontvangen of wilt u een andere soort fraude melden? Dit kunt u doen:

Valse e-mail, sms of brief melden

Andere soorten fraude en incidenten melden

Vacature

Ben jij die sociale en zelfstandige ethische hacker die de toekomst van onze informatiebeveiliging bepaalt? Wij zoeken een nieuwe collega, bekijk snel de vacature.

Hoe meld ik een kwetsbaarheid?

Stuur ons een e-mail: responsible-disclosure@regiobank.nl en gebruik daarbij bij voorkeur onze publieke PGP Key. Zet in uw mail genoeg informatie waarmee we de kwetsbaarheid kunnen reproduceren en verifiëren. Bijvoorbeeld een specifieke url, een stappenplan of een 'proof of concept'.

Anoniem melden

U kunt een kwetsbaarheid ook anoniem melden door ons te mailen vanaf een willekeurig e-mailadres. Houd er rekening mee dat we u dan geen beloning kunnen geven als u daarvoor in aanmerking komt.

De spelregels

Meldt u een zwakke plek aan ons? Dan komt u mogelijk in aanmerking voor een vergoeding. We hebben wel een aantal spelregels:

  • Handel integer en richt geen schade aan tijdens uw onderzoek.
  • Verstoor onze dienstverlening niet als u een kwetsbaarheid onderzoekt.
  • Maak nooit gegevens van klanten of van ons openbaar.
  • Iedereen kan een kwetsbaarheid melden. Ook als u geen klant bij RegioBank bent.
  • Deel de kwetsbaarheid niet met anderen totdat het is opgelost. Praat met onze experts en geef ons de tijd het probleem op te lossen.
  • We behandelen alleen Engelse of Nederlandse meldingen.
  • Maak geen gebruik van aanvallen op fysieke beveiliging, van social engineering of hacking tools als vulnerability scanners.
  • Plaats geen backdoor in een informatiesysteem om daarmee de kwetsbaarheid aan te tonen.
  • Maak minimaal gebruik van een zwakke plek. Doe alleen wat noodzakelijk is om de kwetsbaarheid vast te stellen.
  • Wijzig of verwijder geen gegevens van het systeem.
  • Wees terughoudend met het kopiëren van gegevens.
  • Breng geen systeemveranderingen aan.
  • Probeer wachtwoorden niet herhaaldelijk om toegang tot systemen te krijgen (‘bruteforce’)

Wat doet RegioBank met mijn melding?

Onze beveiligingsexperts onderzoeken uw melding. U krijgt binnen twee werkdagen een eerste reactie.

Beloning

We geven u een passende vergoeding als we kwetsbaarheden verhelpen of onze dienstverlening aanpassen dankzij uw melding. RegioBank beslist of u hiervoor in aanmerking komt en wat de hoogte van de vergoeding is. Melden anderen dezelfde kwetsbaarheid? Dan is de vergoeding voor de eerste melder.

Uw privacy

Als u een melding heeft gedaan, vragen we u om uw contactgegevens (naam, e-mail, publieke PGP-sleutel en telefoonnummer). We geven uw gegevens niet aan anderen en gebruiken ze niet voor andere doeleinden. Tenzij we daartoe wettelijk worden verplicht, bijvoorbeeld bij vordering door justitie.

Heeft u nog een vraag?

Of ga naar de servicepagina