Kwetsbaarheid gevonden? Wij horen het graag
Meldingen van beveiligingsonderzoekers ontvangen wij met open armen — daar wordt iedereen veiliger van
Vertrouwelijk · Snel antwoord · Geen juridische stappen bij een melding te goeder trouw
Waarom deze pagina
Beveiliging is nooit af — ook niet bij ons
Heb je een zwakke plek ontdekt in een website of systeem van CYBERCYBER? Meld het ons, wij zijn er blij mee.
Als beveiligingsbedrijf weten wij als geen ander: hoe goed je je werk ook doet, er kan altijd iets doorheen glippen. Mensen die de moeite nemen om een kwetsbaarheid netjes bij ons te melden, helpen ons en onze klanten. Die meldingen nemen wij dan ook serieus, en wij behandelen jou als melder met respect.
Deze pagina beschrijft hoe je een melding doet, wat je van ons mag verwachten en welke spelregels daarbij horen. Wij volgen hierbij de leidraad Coordinated Vulnerability Disclosure van het NCSC.
De machineleesbare variant van dit beleid vind je op /.well-known/security.txt.
Zo doe je een melding
Drie stappen, meer is het niet
Mail ons
Stuur je melding naar info@cybercyber.nl met als onderwerp “Responsible disclosure”. Melden mag ook anoniem of onder een pseudoniem.
Beschrijf wat je vond
Vertel welk systeem of welke URL het betreft, wat de kwetsbaarheid is en welke stappen nodig zijn om het probleem te reproduceren. Screenshots of een korte proof-of-concept helpen enorm.
Houd het tussen ons
Deel de kwetsbaarheid niet met anderen totdat het probleem is opgelost. Wij houden je op de hoogte van de voortgang en stemmen samen af wanneer publicatie kan.
Wat je van ons mag verwachten
Onze beloften aan melders
Snel antwoord
Binnen twee werkdagen krijg je een ontvangstbevestiging, en binnen vijf werkdagen onze eerste beoordeling van de melding.
Vertrouwelijk
Wij behandelen je melding vertrouwelijk en delen je persoonsgegevens niet met derden zonder jouw toestemming, tenzij de wet ons daartoe verplicht.
Geen juridische stappen
Meld je te goeder trouw en houd je je aan de spelregels hieronder? Dan verbinden wij geen juridische gevolgen aan je melding.
Waardering
Wij lossen het probleem zo snel mogelijk op en vermelden je — als je dat wilt — met naam als ontdekker. Een formeel beloningsprogramma hebben wij niet.
De spelregels
Wat wij van jou vragen
Om je melding te goeder trouw te laten zijn, vragen wij je om:
- niet verder te gaan dan nodig is om de kwetsbaarheid aan te tonen;
- geen gegevens in te zien, te kopiëren, te wijzigen of te verwijderen — een directorylisting of een minimaal bewijs is voldoende;
- geen aanvallen uit te voeren die de beschikbaarheid van onze systemen raken, zoals (D)DoS of brute force;
- geen social engineering te gebruiken richting onze medewerkers of klanten, en geen fysieke toegang te forceren;
- geen achterdeuren te plaatsen of de kwetsbaarheid te misbruiken;
- de melding zo snel mogelijk na ontdekking te doen en de informatie niet met anderen te delen totdat het probleem is opgelost.
Houd je je aan deze spelregels, dan zien wij geen aanleiding voor aangifte of andere juridische stappen. Handel je buiten deze kaders, dan kunnen wij dat niet garanderen.
Direct melden
Bedankt dat je de moeite neemt — meldingen zoals die van jou maken het internet veiliger.