]

Beveiligingslek melden

Wij doen er alles aan om onze systemen veilig te houden. Vind je nu toch een probleem in onze beveiliging? Meld het dan, want dan kunnen wij het meteen oplossen. Dit melden noemen we vulnerability disclosure (ook wel bekend onder de termen coordinated vulnerability disclosure en responsible disclosure).

Hoe meld je een probleem?

  • Stuur het naar security at groterinwonen dot nl.

  • Geef ons zoveel mogelijk informatie; dat helpt ons om het probleem te reproduceren en op te lossen; dus een uitgebreide beschrijving met IP-adressen, logs, screenshots, enzovoort.

  • Geef ons je contactgegevens, een telefoonnummer of een mailadres. Dan kunnen we je bereiken als we meer willen weten.

Waar moet je op letten?

  • Vertel er niemand anders over.

  • Vernietig gegevens die je hebt gekregen.

  • Ga niet verder dan nodig om het probleem aan te tonen.

  • Maak geen misbruik van het beveiligingslek. Anders doen we aangifte.

Wat je niet hoeft te melden:

  • Social Engineering.

  • Resource uitputting / (Distributed) Denial of Service.

  • Fysieke aanvallen (in persoon).

  • Situaties die niet kunnen worden gereproduceerd.

  • Exploits die niet worden gevalideerd met een tweede methode/tool tool a zegt kwetsbaar, tool B zegt prima.

  • Cosmetische issues, bv ziet er niet goed uit in browser A. (deze kun je wel melden bij webmaster at groterinwonen dot nl).

  • Situaties die liggen op gebruikersvlak, bijvoorbeeld werkplek onbeheerd laten, klik of toetsencombinaties.

  • Simpele opsommingen en versienummers van OS, services en poorten.

  • Publiekelijk beschikbare bestanden die publiekelijk beschikbaar horen te zijn.

  • Missende HTTP-only flag op cookies die geen gevoelige informatie bevatten.

  • TLS misconfiguratie zonder proof of concept deze kwetsbaarheid te kunnen misbruiken.

  • Niet complete of missende SPF, DKIM of DMARC records.

  • Diensten draaiende bij derde partijen (raadpleeg vooraf hun eigen responsible disclosure pagina).

  • E-mail adressen gevonden bij een datalek bij een derde partij.

  • Kwetsbaarheden waarvoor in de laatste 2 weken patches vrijgegeven zijn.

  • URL redirects (naar een geldige pagina).

  • Lokale content spoofing / clickjacking

  • Publiek geregistreerde IP adressen

  • Publieke bestanden en informatie lekkage in de metadata

  • Missende security headers, options en flags

  • Verouderde versies zonder bewijs van exploitatie

Bekende problemen

Er zijn ook problemen die al bij ons bekend zijn en waaraan we werken of die wij als geaccepteerde risico's erkennen. Deze problemen benoemen wij niet op de website. Ons supportteam is daarvan wel op de hoogte en zal dit dan aangeven. Hierdoor wordt het issue niet in behandeling genomen.

Hoe gaan wij om met je melding?

  • Wij sturen je binnen 1 werkdag een mail, zodat je weet dat je bericht bij ons binnen is.

  • Wij sturen je binnen 5 werkdagen een mail met een inhoudelijke reactie en de datum waarop we het verwachten op te lossen. We lossen het zo snel mogelijk op, maar in ieder geval binnen 3 maanden.

  • Wij houden je op de hoogte van de voortgang.

  • Wij bepalen samen met jou of we hierover publiceren. We vermelden je naam alleen als jij dat wilt.

Security.txt

Met de publicatie van RFC 9116 eerder dit jaar is er nu een eenduidige manier beschikbaar voor organisaties om hun 'vulnerability disclosure'-beleid en contactpersonen te publiceren. Daartoe is een tekstformaat bedacht dat zowel voor machines als mensen leesbaar is en op de website gepubliceerd wordt in het bestand security.txt. Ons security.txt-bestand vind je hier: https://www.groterinwonen.nl/.well-known/security.txt.

6.000 m2 wonen
1.500 m2 slapen
600 m2 woninginrichting
Interieuradvies / styling

Op de hoogte blijven van de laatste woontrends?

Inschrijven

Meld je aan voor onze nieuwsbrief en ontvang € 10,- korting (bij besteding vanaf €150,-)

Klantenservice

Contact

Groter in Wonen is CBW Erkend
Inschrijven Nieuwsbrief
Contact