Kwetsbaarheid melden

Een kwetsbaarheid melden

Ontdek je een zwakke plek (kwetsbaarheid) op onze website of in een IT-systeem van Campai? Meld dit dan. Campai bekijkt het probleem en lost dit zo snel mogelijk op. Zo kunnen wij onze gegevens en systemen nog beter beschermen. Deze manier van samenwerken heet Coordinated Vulnerability Disclosure (CVD).

Campai beveiligt de gegevens op haar website en in IT-systemen met zorg. Toch kan het voorkomen dat er zwakke plekken bestaan. Computercriminelen kunnen daar misbruik van maken. Dit doen ze door in te breken in het systeem. En gegevens te veranderen of te stelen voor criminele activiteiten. Als je deze zwakke plekken meldt, help je ons om de gegevens veilig te houden.

Scope

In principe zijn alle assets (websites, domeinen, IP-adressen) die bij Campai horen in scope. Verder zijn alle soorten kwetsbaarheden in scope, zolang er een impact is op de veiligheid van de diensten van Campai. Privacy hoort hier ook bij.

Melding doen

  • Meld de zwakke plek die je hebt ontdekt zo snel mogelijk via [email protected].
  • Let op: als je anoniem meldt, kan Campai geen contact met je opnemen.
  • Geef voldoende informatie zodat Campai het probleem zelf kan bekijken (reproduceren) en zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het kwetsbare systeem en een omschrijving van de zwakke plek voldoende. Bij kwetsbaarheden die ingewikkelder zijn, is vaak meer informatie nodig.
  • Misbruik de zwakke plek niet. Bekijk bijvoorbeeld geen gegevens van anderen. Verwijder of verander ook geen gegevens van anderen. Als je gegevens downloadt, download dan niet meer dan nodig is om de zwakke plek aan te tonen.
  • Deel het probleem niet met anderen totdat Campai het probleem heeft opgelost.
  • Verwijder alle vertrouwelijke gegevens die je hebt gedownload nadat Campai het probleem heeft opgelost. Deel deze gegevens ook niet met anderen.

Gebruik geen:

    • technieken die de dienstverlening van Campai in gevaar brengen
    • aanvallen op fysieke beveiliging, zoals toegangspoortjes en sloten
    • psychologische manipulatie (social engineering)
    • aanvallen met heel veel inlogpogingen (brute-force attacks)
    • spam

Na je melding

  • Reageert binnen 10 werkdagen op je melding met een beoordeling en een verwachte datum voor een oplossing.
  • Houdt je op de hoogte over de voortgang van het oplossen van het probleem.
  • Onderneemt geen juridische stappen tegen jou over de melding, als je je aan de voorwaarden hebt gehouden.
  • behandelt jouw melding vertrouwelijk en deelt je persoonlijke gegevens niet met derden zonder jouw toestemming. Een uitzondering hierop is als Campai wettelijk verplicht is je persoonlijke gegevens te delen. Je mag de melding onder een schuilnaam doen.
  • kan je een beloning geven als dank voor je hulp. Campai bepaalt dit per melding. De grootte van de beloning hangt vooral af van de ernst van de kwetsbaarheid en de kwaliteit van je melding.

Campai probeert alle problemen zo snel mogelijk op te lossen en alle betrokkenen daarover te informeren. Wij willen graag worden geïnformeerd als er over het opgeloste probleem gepubliceerd wordt.