Zwakke plekken melden

We vinden het belangrijk dat u veilig gebruik kunt maken van onze dienstverlening. Heeft u een zwakke plek ontdekt in onze website, Mijn OHRA of de OHRA app? U kunt ons helpen door dit zo snel mogelijk te melden.

Responsible Disclosure

Heeft u een veiligheidsprobleem of zwakke plek ontdekt in één van onze online diensten? Meld dit dan zo snel mogelijk, zodat wij snel actie kunnen ondernemen. Voorbeelden van kwetsbaarheden die u kunt melden:

  • Cross-Site Scripting (XSS) kwetsbaarheden
  • SQL injectie kwetsbaarheden
  • Zwakheden in inrichting beveiligde verbinding
Wij stellen het op prijs als een zwakke plek eerst aan ons meldt, voordat u dit openbaar maakt. Zo hebben wij de kans om maatregelen te nemen en voorkomen we misbruik Wij noemen dit Responsible Disclosure.

Hoe kan ik een melding doen?

Stuur een e-mail naar info_secure@ohra.nl. Beschrijf hierin zo concreet mogelijk de ontdekte zwakke plek. Een korte specifieke beschrijving of bewijs is vaak voldoende. Stuur ook uw contactgegevens (zoals een telefoonnummer of e-mailadres) mee, zodat wij eventueel contact kunnen opnemen voor aanvullende informatie.

Wat doen wij met uw melding?

Een team van beveiligingsexperts onderzoekt uw melding. Binnen 1 werkdag ontvangt u van ons een ontvangstbevestiging. Binnen 10 werkdagen geven we een reactie op de inhoud van uw melding.

Privacy

Wij geven uw identiteit niet door aan derden en gebruiken uw gegevens alleen om u te laten weten wat we met uw melding doen. Als de bevoegde autoriteiten uw gegevens opvragen, zijn wij echter verplicht deze verstrekken, zonder voorafgaande toestemming.

Spelregels

Als u ons wilt helpen zwakke plekken te vinden, moet u mogelijk handelingen verrichten die strafbaar zijn. OHRA doet hiervan geen aangifte bij de politie, zolang u te goeder trouw, zorgvuldig en volgens de hieronder aangegeven spelregels handelt:

  • Maak geen gebruik van social engineering om toegang te krijgen tot een systeem.
  • Plaats geen backdoor in een informatiesysteem om vervolgens daarmee de kwetsbaarheid aan te tonen, aangezien daarmee aanvullende schade kan worden aangericht en onnodige veiligheidsrisico’s worden gelopen.
  • Maak zo minimaal mogelijk gebruik van een kwetsbaarheid, doe alleen datgene wat noodzakelijk is om de kwetsbaarheid vast te stellen
  • Kopieer, wijzig of verwijder geen gegevens van het systeem. Maak eventueel een directory listing of screenshot.
  • Breng geen wijzigingen aan in onze systemen.
  • Probeer niet herhaaldelijk toegang tot het systeem te verkrijgen en deel de verkregen toegang niet met anderen.
  • Gebruik geen ‘bruteforce’ om toegang te krijgen tot systemen, dan is immers geen sprake van een kwetsbaarheid, maar van het herhaaldelijk proberen van wachtwoorden.
  • Maak geen gebruik van geautomatiseerde tooling om kwetsbaarheden te ontdekken.

Nationaal Cyber Security Centrum en Verbond van Verzekeraars

Dit Responsible Disclosure-beleid is tot stand gekomen in overleg met het NCSC en op basis van de door het Verbond van Verzekeraars gepubliceerde Leidraad voor Responsible Disclosure.