Kwetsbaarheid melden

Bij Courseware vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks de zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is.

Als er een zwakke plek in één van onze systemen zit, horen wij dit graag zo snel mogelijk zodat we maatregelen kunnen treffen. Hiervan kan een melding gedaan worden via een Coordinated Vulnerability Disclosure (CVD). Op deze manier kunnen wij onze klanten en systemen beter beschermen.

Het doen van een melding:

  • Mail de bevindingen naar naar security@courseware.nl. Dit kan ook via onze beveiligde omgeving om te voorkomen dat de informatie in verkeerde handen valt;

  • Misbruik het probleem niet door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, verwijderen of aan te passen;

  • Deel het probleem niet met anderen totdat het is opgelost en wis alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek;

  • Maak geen gebruik van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden;

  • Geef voldoende informatie om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Wat wij beloven:

  • Wij reageren binnen 3 dagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing;

  • Als u zich aan bovenstaande voorwaarden heeft gehouden zullen wij geen juridische stappen tegen u ondernemen betreffende de melding;

  • Wij behandelen de melding vertrouwelijk en zullen persoonlijke gegevens niet zonder toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk;

  • Wij houden je op de hoogte van de voortgang van het oplossen van het probleem;

  • In berichtgeving over het gemelde probleem zullen wij, indien gewenst, de naam vermelden van de ontdekker.

Uitzonderingen

Niet elke afwijking in een systeem is een kwetsbaarheid. Over het algemeen leiden de volgende afwijkingen niet tot een onveilige situatie. We willen daarom vriendelijk vragen om voor onderstaande afwijkingen geen melding bij ons te maken:

  • Een afwijking die geen impact heeft op de beschikbaarheid, integriteit of vertrouwelijkheid van informatie.

  • De beschikbaarheid van WordPress xmlrpc.php-functionaliteit wanneer misbruik ervan beperkt is tot een zogenaamde ping-back denial-of-service.

  • De mogelijkheid tot cross-site scripting op een statische website of op een website waarop geen gevoelige (gebruikers)informatie wordt verwerkt.

  • De beschikbaarheid van versie-informatie via bijvoorbeeld een info.php-bestand. Een mogelijke uitzondering hierop is wanneer uit de versie-informatie blijkt dat het systeem gebruikmaakt van software met bekende kwetsbaarheden.

  • De afwezigheid van HTTP security headers zoals gebruikt door onder andere Cross-Origin Resource Sharing (CORS), tenzij deze afwezigheid aantoonbaar tot een beveiligingsprobleem leidt.

Wanneer er twijfel is of de gevonden afwijking onder een van bovenstaande uitzonderingen valt, kan deze afwijking uiteraard gewoon bij ons melden worden. Wij bepalen dan of het om een kwetsbaarheid gaat en ondernemen de juiste acties.

Wij streven er naar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.