Naar de content

Zwakke plek ontdekt? Meld het direct!

We vinden het belangrijk dat je veilig gebruik kunt maken van onze dienstverlening. Heb je een zwakke plek ontdekt in onze website, Mijn OHRA of de OHRA app? Je kunt ons helpen door dit zo snel mogelijk te melden.

Welke zwakke plekken kun je melden?

Voorbeelden van kwetsbaarheden die je kunt melden zijn:

  • Cross-Site Scripting (XSS) kwetsbaarheden
  • SQL injectie kwetsbaarheden
  • Zwakheden in de inrichting van een beveiligde verbinding

Maak een zwakke plek liever niet openbaar. Wij hebben dan tijd om maatregelen te nemen en kunnen misbruik voorkomen. Wij noemen dit Responsible Disclosure.

Hoe kan ik een melding doen?

Vul ons formulier in en beschrijf hierin zo concreet mogelijk de ontdekte zwakke plek. Een korte specifieke beschrijving of bewijs is vaak voldoende. Stuur ook je telefoonnummer en/of e-mailadres waarop we je kunnen bereiken voor aanvullende informatie.

Wat doen wij met je melding?

Onze beveiligingsexperts onderzoeken iedere melding. Binnen 1 werkdag krijg je van ons een ontvangstbevestiging. Binnen 10 werkdagen geven we een reactie op de inhoud van je melding.

Zo gaan we om met jouw gegevens

Als je bij ons een melding doet, geven wij jouw identiteit niet door aan derden. Wij gebruiken je gegevens alleen om je te laten weten wat we met jouw melding doen. Als de bevoegde autoriteiten jouw gegevens opvragen, zijn wij wel verplicht deze te verstrekken. Hiervoor hebben we jouw toestemming niet nodig.

Zwakke plekken zoeken? Dit zijn de spelregels

Als je ons wil helpen om zwakke plekken te vinden, moet je misschien dingen doen die strafbaar zijn. Wij doen hiervan geen aangifte bij de politie als jij je houdt aan deze spelregels:

  • Maak geen gebruik van social engineering om toegang te krijgen tot een systeem
  • Plaats geen backdoor in een informatiesysteem om vervolgens daarmee de kwetsbaarheid aan te tonen. Je kunt hier namelijk aanvullende schade mee aanrichten en onnodige veiligheidsrisico’s lopen
  • Maak zo minimaal mogelijk gebruik van een kwetsbaarheid. Doe alleen dat wat nodig is om de kwetsbaarheid vast te stellen
  • Kopieer, wijzig of verwijder geen gegevens van het systeem. Maak eventueel een directory listing of screenshot
  • Breng geen wijzigingen aan in onze systemen
  • Probeer niet achterelkaar toegang tot het systeem te krijgen. Heb je toegang verkregen, deel dit dan niet met anderen
  • Gebruik geen ‘bruteforce’ om toegang te krijgen tot systemen. Er is dan namelijk geen sprake van een kwetsbaarheid, maar van het herhaaldelijk proberen van wachtwoorden
  • Maak geen gebruik van geautomatiseerde tooling om kwetsbaarheden te ontdekken

Nationaal Cyber Security Centrum en Verbond van Verzekeraars

Dit Responsible Disclosure-beleid is tot stand gekomen in overleg met het NCSC en op basis van de door het Verbond van Verzekeraars gepubliceerde Leidraad voor Responsible Disclosure.