Kwetsbaarheden melden

Heb je een zwakke plek ontdekt in onze systemen? Dan horen we dat graag. Met jouw hulp kunnen we onze diensten verbeteren.

Welke kwetsbaarheden kan ik melden?

Je kunt problemen melden die te maken hebben met onze online dienstverlening. Bijvoorbeeld:

  • Cross-site scripting
  • SQL-injectie
  • Cross-site Request Forgery (CSRF)

Goed om te weten: Heb je een valse e-mail, sms of brief (phishing) ontvangen of wil je een andere soort fraude melden? Dit kun je doen:

Valse e-mail, sms of brief melden
Andere soorten fraude en incidenten melden
Storing bij een geldautomaat van SNS melden

Hoe meld ik een kwetsbaarheid?

Iedereen kan een kwetsbaarheid melden. Ook als je geen klant bij SNS bent.
Geef bij voorkeur je HackerOne handle door aan responsible-disclosure@devolksbank.nl om te worden uitgenodigd voor ons private programma op https://hackerone.com/devolksbank.

Anoniem melden

Je kunt een kwetsbaarheid ook anoniem melden (in het Nederlands of Engels) door ons te mailen op responsible-disclosure@devolksbank.nl vanaf een willekeurig e-mailadres. Gebruik daarbij bij voorkeur onze publieke PGP-sleutel.
Zet in je e-mail genoeg informatie waarmee we de kwetsbaarheid kunnen reproduceren en verifiëren. Bijvoorbeeld een specifieke URL, een stappenplan of een "proof of concept". Houd er rekening mee dat we je bij een anonieme melding geen beloning kunnen geven als je daarvoor in aanmerking komt.

Beloning bij melden via HackerOne

We geven je via HackerOne een passende vergoeding als we kwetsbaarheden verhelpen of onze dienstverlening aanpassen dankzij je melding. Op de HackerOne pagina staan onze beloningsstructuren, SNS beslist of je hiervoor in aanmerking komt en wat de hoogte van de vergoeding is. Melden anderen dezelfde kwetsbaarheid? Dan is de vergoeding voor de eerste melder.

Spelregels:

Veroorzaak geen schade en verstoor onze dienstverlening niet wanneer je een kwetsbaarheid of beveiligingsprobleem onderzoekt
• Hacktools, zoals kwetsbaarheidsscanners of detectiescanners (Acunetix, Appscan, Rapid7 AppSpider, Burp Suite Pro actieve scanner, DirBuster, Nessus, Netsparker, Nikto, OpenVAS, enz.), mogen alleen worden gebruikt met voorafgaande toestemming en instructies.
• Gebruik tijdens het testen max. één gelijktijdige verbinding of thread.
• Breng geen wijzigingen aan in onze systemen.
• Gegevens uit het systeem mogen niet worden gewijzigd of verwijderd.

Verstoor andere gebruikers niet, houd hun gegevens veilig
• Communiceer alleen met accounts die je bezit of met accounts waarvoor je expliciete toestemming van de accounthouder hebt gekregen.
• Handel integer: voorkom privacyschendingen, vernietigen van gegevens. Voorkom onderbreking of aantasting van onze dienstverlening.
• Geef nooit klant- of bedrijfsgegevens door aan anderen.
• Wees terughoudend bij het kopiëren van gegevens.
• Voer geen enkele actie uit die een andere gebruiker opmerkt (plaats bijvoorbeeld geen test op openbare fora, in de commentaren op een openbare pagina, via een DM naar een andere gebruiker sturen enzovoort).
• Als je het SNS Forum wilt testen, vraag dan eerst toegang tot de speciale test-Forum-groep via responsible-disclosure@devolksbank.nl.
• Als je per ongeluk een publicatie, verstoring of enige andere schade hebt veroorzaakt, neem dan onmiddellijk contact met ons op via e-mail: responsible-disclosure@devolksbank.nl

Sociale, fysieke en bruteforce testen niet in scope
• Alle vormen van Denial of Service (DoS), bruteforcing en enumeratie zijn niet toegestaan.
• Social engineering (bijv. phishing, vishing, smishing) is niet toegestaan.
• Start geen aanvallen op onze fysieke beveiliging.

Maak geen misbruik
• Maak minimaal gebruik van een zwakke plek. Doe alleen dat wat er moet gebeuren om de kwetsbaarheid vast te stellen.
• Deel de kwetsbaarheid niet met andere partijen dan de Volksbank totdat deze is opgelost.
• Praat met onze experts en geef ons de tijd om het probleem op te lossen.
• Plaats geen achterdeur in een informatiesysteem om de kwetsbaarheid te bewijzen.
• We bieden geen testaccounts.

Wat doet de Volksbank met mijn melding?

Onze beveiligingsexperts onderzoeken je melding. Je krijgt binnen 2 werkdagen een eerste reactie.

Jouw privacy

We geven je gegevens niet aan anderen en gebruiken ze niet voor andere doeleinden. Tenzij we daartoe wettelijk worden verplicht, bijvoorbeeld bij vordering door justitie.