Kwetsbaarheden melden
Welke kwetsbaarheden kan ik melden?
Je kunt problemen melden die te maken hebben met onze online dienstverlening. Bijvoorbeeld:
- Cross-site scripting
- SQL-injectie
- Cross-site Request Forgery (CSRF)
Goed om te weten: Heb je een valse e-mail, sms of brief (phishing) ontvangen of wil je een andere soort fraude melden? Dit kun je doen:
Valse e-mail, sms of brief melden
Andere soorten fraude en incidenten melden
Hoe meld ik een kwetsbaarheid?
Iedereen kan een kwetsbaarheid melden. Ook als je geen klant bij ons bent. Maak hiervoor gebruik van ons formulier op HackerOne.
Anoniem melden
Je kunt een kwetsbaarheid ook anoniem melden (in het Nederlands of Engels) door ons te mailen op responsible-disclosure@devolksbank.nl vanaf een willekeurig e-mailadres. Gebruik daarbij bij voorkeur onze publieke PGP-sleutel. Zet in je e-mail genoeg informatie waarmee we de kwetsbaarheid kunnen reproduceren en verifiëren. Bijvoorbeeld een specifieke url, een stappenplan of een 'proof of concept'. Houd er rekening mee dat we je bij een anonieme melding geen beloning kunnen geven als je daarvoor in aanmerking komt.
Beloning bij melden via HackerOne
We geven je via HackerOne een passende vergoeding als we kwetsbaarheden verhelpen of onze dienstverlening aanpassen dankzij je melding. Op de HackerOne pagina staan onze beloningsstructuren. RegioBank beslist of je hiervoor in aanmerking komt en wat de hoogte van de vergoeding is. Melden anderen dezelfde kwetsbaarheid? Dan is de vergoeding voor de eerste melder.
De spelregels
Meld je een zwakke plek aan ons? Dan kom je mogelijk in aanmerking voor een vergoeding. We hebben wel een aantal spelregels:
Veroorzaak geen schade en verstoor onze dienstverlening niet wanneer je een kwetsbaarheid of beveiligingsprobleem onderzoekt.
- Hacktools, zoals kwetsbaarheidsscanners of detectiescanners (Acunetix, Appscan, Rapid7 AppSpider, Burp Suite Pro actieve scanner, DirBuster, Nessus, Netsparker, Nikto, OpenVAS, enz.), mogen alleen worden gebruikt met voorafgaande toestemming en instructies.
- Gebruik tijdens het testen max. één gelijktijdige verbinding of thread.
- Breng geen wijzigingen aan in onze systemen.
- Gegevens uit het systeem mogen niet worden gewijzigd of verwijderd.
Verstoor andere gebruikers niet, houd hun gegevens veilig.
- Communiceer alleen met accounts die je bezit of met accounts waarvoor je expliciete toestemming van de accounthouder hebt gekregen.
- Handel integer: voorkom privacyschendingen, vernietigen van gegevens. Onderbreking of aantasting van onze dienstverlening dient te worden te voorkomen.
- Geef nooit klant- of bedrijfsgegevens door aan anderen.
- Wees terughoudend bij het kopiëren van gegevens.
- Voer geen enkele actie uit die een andere gebruiker opmerkt (plaats bijvoorbeeld geen test op een openbaar fora, in de commentaren op een openbare pagina, via een DM naar een andere gebruiker sturen, enz.).
- Als je per ongeluk een publicatie, verstoring of enige andere schade hebt veroorzaakt, neem dan onmiddellijk contact met ons op via e-mail: responsible-disclosure@devolksbank.nl
Sociale, fysieke en bruteforce testen niet in scope.
- Alle vormen van Denial of Service (DoS), bruteforcing en enumeratie zijn niet toegestaan.
- Social engineering (bijv. phishing, vishing, smishing) is niet toegestaan.
- Start geen aanvallen op onze fysieke beveiliging.
Maak geen misbruik.
- Maak minimaal gebruik van een zwakke plek. Doe alleen dat wat er moet gebeuren om de kwetsbaarheid vast te stellen.
- Deel de kwetsbaarheid niet met andere partijen dan de Volksbank totdat deze is opgelost.
- Praat met onze experts en geef ons de tijd om het probleem op te lossen.
- Plaats geen achterdeur in een informatiesysteem om de kwetsbaarheid te bewijzen.
- We bieden geen testaccounts.
Wat doet RegioBank met mijn melding?
Onze beveiligingsexperts onderzoeken je melding. Je krijgt binnen twee werkdagen een eerste reactie.
Je privacy
We geven je gegevens niet aan anderen en gebruiken ze niet voor andere doeleinden. Tenzij we daartoe wettelijk worden verplicht, bijvoorbeeld bij vordering door justitie.