Zo meld je kwetsbaarheden in ons systeem
Report a system vulnerability in English?
This web page provides information in Dutch on
how to responsibly report a vulnerability in our systems or applications. For similar information in English, please visit the HackerOne page set up by our parent company, De Volksbank.
Welk type kwetsbaarheden kun je melden?
Je kunt beveiligingsproblemen melden die te maken hebben met onze online dienstverlening. Bijvoorbeeld:
- Cross-site scripting
- SQL-injectie
- Cross-site Request Forgery (CSRF)
Geen kwetsbaarheid gezien, wel fraude?
Heb je een phishing-e-mail,- sms of -brief gekregen? Of wellicht een andere vorm van fraude ervaren of gezien?Laat het ons direct weten!
Hoe meld je een kwetsbaarheid?
Je kunt op verschillende manieren melden dat je een zwakke plek hebt gevonden in onze systemen of applicaties. Ook als je geen klant bij ons bent!
Onderzoek je een kwetsbaarheid? Volg de spelregels!
Heel fijn dat je de zwakke plekken in onze systemen en applicaties wilt opspeuren en melden. Maar we vinden het ook belangrijk dat al onze klanten ongestoord en veilig online kunnen bankieren. Daarom hebben we vier spelregels:
Veroorzaak geen schade en verstoor onze dienstverlening niet wanneer je een kwetsbaarheid onderzoekt.
- Breng geen of zo beperkt mogelijk wijzigingen aan in onze systemen of applicaties. Doe alleen wat nodig is om een kwetsbaarheid te bewijzen.
- Wijzig geen gegevens in het systeem. En haal er ook geen gegevens uit.
- Gebruik alleen hacktools als je hiervoor van tevoren toestemming en instructies van ons hebt gekregen. Het gaat dan om kwetsbaarheidsscanners of detectiescanners als Acunetix, Appscan, Rapid7 AppSpider, Burp Suite Pro-actieve scanner, DirBuster, Nessus, Netsparker, Nikto en OpenVAS.
- Gebruik tijdens het testen maximaal één gelijktijdige verbinding of thread.
- Werk zonder testaccounts: die bieden we niet.
Verstoor andere gebruikers niet, houd hun gegevens veilig
- Communiceer alleen met eigen accounts of met accounts waarvoor je expliciete toestemming van de accounthouder hebt gekregen.
- Handel integer: voorkom privacyschendingen en vernietiging van gegevens. Zorg ervoor dat je onze dienstverlening niet onderbreekt of aantast.
- Geef nooit klant- of bedrijfsgegevens door aan anderen.
- Wees terughoudend bij het kopiëren van gegevens.
- Voer geen enkele actie uit die een andere gebruiker opmerkt. Deel bijvoorbeeld geen test op een openbaar forum, in de commentaren op een openbare pagina of via een DM naar een andere gebruiker.
- Als je het RegioBank Forum wilt testen, vraag dan eerst toegang tot de speciale testforumgroep. Hiervoor stuur je een mail aan responsible-disclosure@devolksbank.nl.
- Heb je per ongeluk iets gepubliceerd? Of heb je een verstoring of andere schade veroorzaakt? Neem dan meteen contact met ons op via responsible-disclosure@devolksbank.nl.
Gebruik geen sociale, fysieke en bruteforce-testen
Je mag een aantal testen echt niet uitvoeren:
- Alle vormen van Denial of Service (DoS), bruteforcing en enumeratie.
- Social engineering, zoals phishing, vishing of smishing.
- Aanvallen op onze fysieke beveiliging.
Maak geen misbruik van een kwetsbaarheid
- Maak minimaal gebruik van een zwakke plek. Doe alleen dat wat er moet gebeuren om de kwetsbaarheid vast te stellen.
- Deel de kwetsbaarheid niet met andere partijen dan de Volksbank totdat de kwetsbaarheid is opgelost.
- Praat met onze experts en geef ons de tijd om het probleem op te lossen.
- Plaats geen achterdeur in een informatiesysteem om de kwetsbaarheid te bewijzen.
Wat doen we met je melding?
Onze beveiligingsexperts onderzoeken je melding. Je krijgt binnen twee werkdagen een eerste reactie.
Jouw privacy
We geven je gegevens niet aan anderen en gebruiken ze niet voor andere doeleinden. Tenzij we daartoe wettelijk worden verplicht, bijvoorbeeld bij vordering door justitie.