Coordinated Vulnerability Disclosure (CVD)

Vind je een zwakke plek in een van onze systemen of in een systeem met een vitale functie? Meld het via [email protected].

Bij de Hanzehogeschool Groningen vinden wij de veiligheid van onze systemen, ons netwerk en onze producten erg belangrijk. Ondanks dat wij heel veel zorg besteden aan security, kan het voorkomen dat een zwakke plek wordt ontdekt. Indien dat het geval is, dan horen wij dit graag zo snel mogelijk, zodat we snel maatregelen kunnen treffen. 

Zwakke plekken kunnen op twee manieren worden ontdekt: 

  1. Je loopt ergens per ongeluk tegenaan bij normaal gebruik van een digitale omgeving; of 

  2. Je gaat bewust op zoek naar zwakke plekken. Ons CVD-beleid is uitdrukkelijk geen uitnodiging om ons bedrijfsnetwerk uitgebreid actief te scannen op zwakke plekken.

Strafrechtelijke vervolging

Het is mogelijk dat je tijdens je onderzoek handelingen uitvoert die volgens het strafrecht strafbaar zijn. Heb je je aan onderstaande voorwaarden gehouden, dan ondernemen wij geen juridische stappen tegen je. Het Openbaar Ministerie heeft echter altijd het recht om zelf te beslissen of het je strafrechtelijk vervolgt.

Wat wij van jou verwachten

Wij willen graag samenwerken om onze systemen beter te kunnen beschermen. Daarbij is het van belang om de volgende procedure te volgen:

  1. Mail je bevindingen/kwetsbaarheden zo snel mogelijk naar [email protected]. Om te voorkomen dat de informatie in verkeerde handen valt gebruik de PGP-sleutel van de HanzeCSIRT. Het PgP key-ID van Hanze-CSIRT is 0xc4f42511cf1bb6bc en de Fingerprint van de publieke PgP sleutel van Hanze-CSIRT is 675C F256 A61C C653 B853 DB10 C4F4 2511 CF1B B6BC (Het PgP key-ID is geldig tot en met 10 juli 2021). Zie ook ons RFC-2350 document

  2. Vermeld in je mail voldoende informatie en geef ons de mogelijkheid om het probleem te reproduceren, dit helpt bij een snelle oplossing. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn. 

  3. Deel het probleem niet met anderen totdat het is opgelost. 

  4. Misbruik de kwetsbaarheid niet door bijvoorbeeld het downloaden, veranderen of verwijderen van gegevens. Wij nemen je melding altijd serieus en gaan elk vermoeden van een kwetsbaarheid uitzoeken, ook zonder 'bewijs'. 

  5. Ga verantwoordelijk om met de kennis over het beveiligingsprobleem door geen handelingen te verrichten, die verder gaan dan strikt noodzakelijk zijn om de kwetsbaarheden aan te tonen. 

  6. Verricht geen schadelijke handelingen zoals: plaatsen van malware, kopiëren, wijzigen of verwijderen van gegevens in een systeem, het aanbrengen van veranderingen in het systeem, herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.

  7. We kunnen je helaas geen beloning geven maar indien je toestemming geeft nemen we je naam of nickname op in onze responsible disclosure 'Wall of Fame' met eventueel een link naar je Twitter of LinkedIn profiel. 

Wat jij van ons mag verwachten

  1. Wij reageren binnen vijf werkdagen op je melding met onze beoordeling van de melding en een verwachte datum voor een oplossing. 

  2. Wij behandelen je melding vertrouwelijk en zullen jouw persoonlijke gegevens niet zonder je toestemming met derden delen. Een uitzondering hierop is politie en justitie, in geval van aangifte of indien gegevens worden opgeëist. 

  3. Wij houden je op de hoogte van de voortgang van het oplossen van het probleem. 

  4. In berichtgeving over het gemelde probleem zullen wij, indien je dit wenst, je naam vermelden als de ontdekker. 

  5. We achten het een morele verplichting om aangifte te doen op moment dat we het vermoeden hebben dat de infrastructuur of gegevens misbruikt worden, of dat kennis over de kwetsbaarheid met anderen is gedeeld. 

  6. Wij streven ernaar om alle problemen zo snel mogelijk op te lossen, alle betrokken partijen op de hoogte te houden en wij worden graag betrokken bij een eventuele publicatie over het probleem, nadat het is opgelost.

Wat wordt niet gezien als kwetsbaarheid

De Hanzehogeschool Groningen accepteert geen triviale kwetsbaarheden of bugs die niet kunnen worden misbruikt. Hieronder staan voorbeelden van bekende en geaccepteerde kwetsbaarheden en risico's die buiten het bereik van het beleid voor verantwoordelijke openbaarmaking vallen:

  • HTTP 404-codes/pagina's of andere HTTP-codes/pagina's en Content Spoofing/tekstinjectie op deze pagina's.

  • Fingerprinting/versievermelding op gemeenschappelijke/openbare diensten.

  • Publieke bestanden of mappen met niet-gevoelige informatie, (bijvoorbeeld robots.txt).

  • Clickjacking en problemen die alleen misbruikt kunnen worden door clickjacking.

  • Gebrek aan Secure/HTTPOnly vlaggen op niet-gevoelige cookies.

  • OPTIONS HTTP method ingeschakeld.

  • Host header injection.

  •  

  • Alles gerelateerd aan HTTP-beveiligingsheaders, bijvoorbeeld:
    - Strict-Transport-Security.
    - X-Frame-Options.
    - X-XSS-Protection.
    - X-Content-Type-Options.
    - Content-Security-beleid.

  • Problemen met SSL-configuraties:
    - SSL-forward secrecy uitgeschakeld.
    ​​​​​​​- Zwakke/onveilige cipher suites.

  • Problemen met SPF, DKIM of DMARC.

  • Ontbrekende DNSSEC-informatie

  • Melding van verouderde software of upgrade mogelijkheid zonder de daarbij behorende proof of concept van een werkende exploit te delen.

  • Systemen en protocollen die misbruikt kunnen worden voor een DDoS aanval.

  • Opzettelijke directory inhoud listing(s) voor onderzoek of publicatie doeleinden

  • Informatieblootstelling in metadata