Kwetsbaarheden melden

Heeft u een zwakke plek ontdekt in onze systemen? Dan horen we dat graag. Met uw hulp kunnen we onze diensten verbeteren.

Welke kwetsbaarheden kan ik melden?

U kunt problemen melden die te maken hebben met onze online dienstverlening. Bijvoorbeeld:

  • Cross-site scripting
  • SQL-injectie
  • Cross-site Request Forgery (CSRF)

Goed om te weten: Heeft u een valse e-mail, sms of brief (phishing) ontvangen of wilt u een andere soort fraude melden? Dit kunt u doen:

Valse e-mail, sms of brief melden

Andere soorten fraude en incidenten melden

Hoe meld ik een kwetsbaarheid?

Iedereen kan een kwetsbaarheid melden. Ook als je geen klant bij ons bent. Maak hiervoor gebruik van ons formulier op HackerOne.

Anoniem melden

U kunt een kwetsbaarheid ook anoniem melden (in het Nederlands of Engels) door ons te mailen op responsible-disclosure@devolksbank.nl vanaf een willekeurig e-mailadres. Gebruik daarbij bij voorkeur onze publieke PGP-sleutel. Zet in uw e-mail genoeg informatie waarmee we de kwetsbaarheid kunnen reproduceren en verifiëren. Bijvoorbeeld een specifieke url, een stappenplan of een 'proof of concept'. Houd er rekening mee dat we u bij een anonieme melding geen beloning kunnen geven als u daarvoor in aanmerking komt.

Beloning bij melden via HackerOne

We geven u via HackerOne een passende vergoeding als we kwetsbaarheden verhelpen of onze dienstverlening aanpassen dankzij uw melding. Op de HackerOne pagina staan onze beloningsstructuren. RegioBank beslist of u hiervoor in aanmerking komt en wat de hoogte van de vergoeding is. Melden anderen dezelfde kwetsbaarheid? Dan is de vergoeding voor de eerste melder.

De spelregels

Meldt u een zwakke plek aan ons? Dan komt u mogelijk in aanmerking voor een vergoeding. We hebben wel een aantal spelregels:

Veroorzaak geen schade en verstoor onze dienstverlening niet wanneer u een kwetsbaarheid of beveiligingsprobleem onderzoekt.

  • Hacktools, zoals kwetsbaarheidsscanners of detectiescanners (Acunetix, Appscan, Rapid7 AppSpider, Burp Suite Pro actieve scanner, DirBuster, Nessus, Netsparker, Nikto, OpenVAS, enz.), mogen alleen worden gebruikt met voorafgaande toestemming en instructies.
  • Gebruik tijdens het testen max. één gelijktijdige verbinding of thread.
  • Breng geen wijzigingen aan in onze systemen.
  • Gegevens uit het systeem mogen niet worden gewijzigd of verwijderd.

Verstoor andere gebruikers niet, houd hun gegevens veilig.

  • Communiceer alleen met accounts die u bezit of met accounts waarvoor u expliciete toestemming van de accounthouder hebt gekregen.
  • Handel integer: voorkom privacyschendingen, vernietigen van gegevens. Onderbreking of aantasting van onze dienstverlening dient te worden te voorkomen.
  • Geef nooit klant- of bedrijfsgegevens door aan anderen.
  • Wees terughoudend bij het kopiëren van gegevens.
  • Voer geen enkele actie uit die een andere gebruiker opmerkt (plaats bijvoorbeeld geen test op een openbaar fora, in de commentaren op een openbare pagina, via een DM naar een andere gebruiker sturen, enz.).
  • Als u het RegioBank Forum wilt testen, vraag dan eerst toegang tot de speciale test-Forum-groep via responsible-disclosure@devolksbank.nl.
  • Als u per ongeluk een publicatie, verstoring of enige andere schade heeft veroorzaakt, neem dan onmiddellijk contact met ons op via e-mail: responsible-disclosure@devolksbank.nl

Sociale, fysieke en bruteforce testen niet in scope.

  • Alle vormen van Denial of Service (DoS), bruteforcing en enumeratie zijn niet toegestaan.
  • Social engineering (bijv. phishing, vishing, smishing) is niet toegestaan.
  • Start geen aanvallen op onze fysieke beveiliging.

Maak geen misbruik.

  • Maak minimaal gebruik van een zwakke plek. Doe alleen dat wat er moet gebeuren om de kwetsbaarheid vast te stellen.
  • Deel de kwetsbaarheid niet met andere partijen dan de Volksbank totdat deze is opgelost.
  • Praat met onze experts en geef ons de tijd om het probleem op te lossen.
  • Plaats geen achterdeur in een informatiesysteem om de kwetsbaarheid te bewijzen.
  • We bieden geen testaccounts.

Wat doet RegioBank met mijn melding?

Onze beveiligingsexperts onderzoeken uw melding. U krijgt binnen twee werkdagen een eerste reactie.

Uw privacy

We geven uw gegevens niet aan anderen en gebruiken ze niet voor andere doeleinden. Tenzij we daartoe wettelijk worden verplicht, bijvoorbeeld bij vordering door justitie.