Zo meld je kwetsbaarheden in ons systeem

Heb je een zwakke plek ontdekt in onze systemen of applicaties? Dan horen we dat graag. Met jouw hulp kunnen we onze diensten verbeteren en je online veiligheid zo hoog mogelijk houden.

Welk type kwetsbaarheden kun je melden?

Je kunt beveiligingsproblemen melden die te maken hebben met onze online dienstverlening. Bijvoorbeeld:

Cross-site scripting
SQL-injectie
Cross-site Request Forgery (CSRF)

Geen kwetsbaarheid gezien, wel fraude?

Vals tekstbericht

Heb je een phishing-e-mail,- sms of -brief gekregen? Laat het ons direct weten!

Meld de fraude

Andere fraude

Heb je een ander soort fraude ervaren of gezien? Vertel ons er meteen over!

Meld de fraude

Report a system vulnerability in English?

This web page provides information in Dutch on
how to responsibly report a vulnerability in our systems or applications. For similar information in English, please visit the HackerOne page set up by our parent company, De Volksbank.

Hoe meld je een kwetsbaarheid?

Je kunt op verschillende manieren melden dat je een zwakke plek hebt gevonden in onze systemen of applicaties. Ook als je geen klant bij ons bent!

Gebruik ons meldformulier op HackerOne. (Bekijk ook eens ons HackerOne-programma en lees hoe je lid kunt worden!) Als we dankzij jouw melding kwetsbaarheden verhelpen of onze dienstverlening aanpassen, geven we jou een passende beloning. Wij beslissen of je voor een beloning in aanmerking komt. Op de HackerOne-pagina lees je hoe we het bedrag van een beloning bepalen. Melden anderen dezelfde kwetsbaarheid? Dan is de vergoeding voor de eerste melder.

Stuur een e-mail (in het Nederlands of Engels) naar responsible-disclosure@devolksbank.nl vanaf een willekeurig e-mailadres. Gebruik daarbij het liefst onze publieke PGP-sleutel. Zet in je e-mail genoeg informatie waarmee we de kwetsbaarheid kunnen reproduceren en verifiëren. Bijvoorbeeld een specifieke URL, een stappenplan of een ‘proof of concept’. Als je anoniem melding maakt van een kwetsbaarheid, kunnen we je geen beloning geven.

Onderzoek je een kwetsbaarheid? Volg de spelregels!

Heel fijn dat je de zwakke plekken in onze systemen en applicaties wilt opspeuren en melden. Maar we vinden het ook belangrijk dat al onze klanten ongestoord en veilig online kunnen bankieren. Daarom hebben we vier spelregels:

Veroorzaak geen schade en verstoor onze dienstverlening niet wanneer je een kwetsbaarheid onderzoekt.

Breng geen of zo beperkt mogelijk wijzigingen aan in onze systemen of applicaties. Doe alleen wat nodig is om een kwetsbaarheid te bewijzen.
Wijzig geen gegevens in het systeem. En haal er ook geen gegevens uit.
Gebruik alleen hacktools als je hiervoor van tevoren toestemming en instructies van ons hebt gekregen. Het gaat dan om kwetsbaarheidsscanners of detectiescanners als Acunetix, Appscan, Rapid7 AppSpider, Burp Suite Pro-actieve scanner, DirBuster, Nessus, Netsparker, Nikto en OpenVAS.
Gebruik tijdens het testen maximaal één gelijktijdige verbinding of thread.
Werk zonder testaccounts: die bieden we niet.

Verstoor andere gebruikers niet, houd hun gegevens veilig

Communiceer alleen met eigen accounts of met accounts waarvoor je expliciete toestemming van de accounthouder hebt gekregen.
Handel integer: voorkom privacyschendingen en vernietiging van gegevens. Zorg ervoor dat je onze dienstverlening niet onderbreekt of aantast.
Geef nooit klant- of bedrijfsgegevens door aan anderen.
Wees terughoudend bij het kopiëren van gegevens.
Voer geen enkele actie uit die een andere gebruiker opmerkt. Deel bijvoorbeeld geen test op een openbaar forum, in de commentaren op een openbare pagina of via een DM naar een andere gebruiker.
Als je het RegioBank Forum wilt testen, vraag dan eerst toegang tot de speciale testforumgroep. Hiervoor stuur je een mail aan responsible-disclosure@devolksbank.nl.
Heb je per ongeluk iets gepubliceerd? Of heb je een verstoring of andere schade veroorzaakt? Neem dan meteen contact met ons op via responsible-disclosure@devolksbank.nl.

Gebruik geen sociale, fysieke en bruteforce-testen

Je mag een aantal testen echt niet uitvoeren:

Alle vormen van Denial of Service (DoS), bruteforcing en enumeratie.
Social engineering, zoals phishing, vishing of smishing.
Aanvallen op onze fysieke beveiliging.

Maak geen misbruik van een kwetsbaarheid

Maak minimaal gebruik van een zwakke plek. Doe alleen dat wat er moet gebeuren om de kwetsbaarheid vast te stellen.
Deel de kwetsbaarheid niet met andere partijen dan de Volksbank totdat de kwetsbaarheid is opgelost.
Praat met onze experts en geef ons de tijd om het probleem op te lossen.
Plaats geen achterdeur in een informatiesysteem om de kwetsbaarheid te bewijzen.

Wat doen we met je melding?

Onze beveiligingsexperts onderzoeken je melding. Je krijgt binnen twee werkdagen een eerste reactie.

Jouw privacy

We geven je gegevens niet aan anderen en gebruiken ze niet voor andere doeleinden. Tenzij we daartoe wettelijk worden verplicht, bijvoorbeeld bij vordering door justitie.

Terug naar Veilig bankieren overzicht