Ga naar de inhoud

Responsible disclosure

Bij Gemeente Moerdijk vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is.

Als u een zwakke plek in één van onze systemen heeft gevonden horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze systemen beter te kunnen beschermen.

Let op! Niet alle meldingen worden in behandeling genomen. Bekijk onder het kopje ‘Scope kwetsbaarheid meldingen’ onderaan deze pagina, de kwetsbaarheden die binnen en buiten de scope van ons beleid vallen.

Wij vragen u:

  • Uw bevindingen aan te leveren via Zivver. Vergeet niet uw contactgegevens te vermelden (e-mailadres en/of telefoonnummer) en te vermelden dat het gaat om een kwetsbaarheid bij gemeente Moerdijk.
  • Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, verwijderen of aanpassen.
  • Alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het rapporteren van het lek te wissen.
  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, spam, bruteforcen of applicaties van derden. Ook verzoekt de gemeente u geen gebruik te maken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of de dienstverlening wordt verminderd.
  • Plaats, verzend, upload, link naar, verstuur of bewaar geen schadelijke software.
  • Test niet wat zou resulteren in het verzenden van ongevraagde of ongeoorloofde ongewenste e-mail, spam of andere vormen van ongevraagde berichten.
  • Voer geen automatische scans uit zonder eerst met ons te overleggen.
  • Test niet op een manier die de werking van de oplossingen die we gebruiken zou aantasten.
  • Maak een kwetsbaarheid niet openbaar binnen 30 dagen nadat de kwetsbaarheid door ons is opgelost en niet zonder onze voorafgaande schriftelijke toestemming. En neem geen gevoelige gegevens op in de onthulde kwetsbaarheid.
  • Voldoende informatie te verstrekken om het probleem te reproduceren, zodat wij het probleem zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid met foutmelding voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Wat wij beloven:

  • Wij reageren binnen 5 werkdagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • Als u zich aan bovenstaande afspraken voor het melden heeft gehouden, onderneemt de gemeente geen juridische stappen tegen u over de melding.
  • Uw melding wordt vertrouwelijk behandeld en uw persoonlijke gegevens worden niet zonder uw toestemming met derden gedeeld, tenzij de gemeente daar volgens de wet of rechterlijke uitspraak toe verplicht is. Melden onder een pseudoniem is mogelijk.
  • Het door u gemelde beveiligingsprobleem wordt zo snel mogelijk opgelost. Hierin is de gemeente vaak wel medeafhankelijk van externe partijen. De gemeente houdt u op de hoogte van de voortgang.
  • Of en op welke wijze over het probleem wordt gepubliceerd nadat het is opgelost, wordt in onderling overleg en in samenspraak met de Informatiebeveiligingsdienst Gemeenten bepaald. De gemeente vermeldt indien u dit wenst uw naam als ontdekker van de gevonden kwetsbaarheid in de ‘Hall of Fame’ op de eigen website.
  • De gemeente kan u een beloning bieden als dank voor uw hulp. Of u een beloning krijgt en de grootte van de beloning is afhankelijk van de ernst de kwetsbaarheid en de kwaliteit van de melding. De gemeente maakt hier daarom per melding een afweging in.

Juridische aspecten

Door een melding in te dienen bij gemeente Moerdijk erkent u dat u bovenstaande voorwaarden heeft gelezen en hiermee akkoord gaat. U garandeert ook dat u de vinder van de inzending bent en u verleent ons hierbij toestemming om uw inzending te gebruiken, reproduceren, kopiëren, wijzigen en anderszins te verwijderen op een manier die wij nodig achten.

U gaat ermee akkoord, dat u deze openbaarmaking niet zult gebruiken voor:

  • marketing- of financierings-doeleinde
  • als referentie in enige persoonlijke of professionele presentatie
  • in documentatie of ander materiaal

Daarnaast zult u niet het logo of de naam van gemeente Moerdijk op welke manier dan ook gebruiken in enige vorm van communicatie met betrekking tot deze kwetsbaarheid melding onder Responsible Disclosure.

Dit beleid is mede geïnspireerd op en deels overgenomen van het voorbeeld op de website Responsible Disclosure.

Kwetsbaarheden, die binnen dit Responsible Disclosure beleid vallen zijn (maar niet gelimiteerd tot)

  • Injection vulnerabilities
  • Broken Authentication and Session Management
  • Cross Site Scripting (XSS)
  • Remote Code Execution
  • Insecure Direct Object Reference
  • Sensitive Data Exposure
  • Security Misconfiguration
  • Missing Function Level Access Control
  • Using Components with Known Vulnerabilities
  • Unvalidated Redirects and Forwards
  • Directory/Path transversal
  • Exposed credentials

Kwetsbaarheden, die buiten dit Responsible Disclosure beleid vallen zijn (maar niet gelimiteerd tot):

  • Issues that require unlikely user interaction
  • Account enumeration using brute-force attacks
  • Cross-Site Request Forgery
  • Weak password policies and password complexity requirements
  • Missing http security headers which do not lead to a vulnerability
  • Clickjacking on static websites
  • Reports from automated tools or scans
  • Vulnerabilities affecting users of outdated browsers
  • Presence of autocomplete attribute on web forms
  • Missing cookie flags on non-sensitive cookies
  • Reports of SSL issues, best practices or insecure ciphers
  • Incomplete or missing SPF/DMARC/DKIM records
  • Self-exploitation attacks
  • Social Engineering attacks
  • Test versions of applications
  • Mail configuration issues including SPF, DKIM, DMARC settings
  • Clickjacking on pages with no sensitive actions
  • Cross-Site Request Forgery (CSRF) on unauthenticated forms or forms with no sensitive actions
  • Attacks requiring MITM or physical access to a user’s device.
  • Previously known vulnerable libraries without a working Proof of Concept.
  • Comma Separated Values (CSV) injection without demonstrating a vulnerability.
  • Missing best practices in SSL/TLS configuration.
  • Any activity that could lead to the disruption of our service (DoS).
  • Content spoofing and text injection issues without showing an attack vector/without being able to modify HTML/CSS
  • Rate limiting or bruteforce issues on non-authentication endpoints
  • Missing best practices in Content Security Policy.
  • Missing HttpOnly or Secure flags on cookies
  • Missing email best practices (Invalid, incomplete or missing SPF/DKIM/DMARC records, etc.)
  • Vulnerabilities only affecting users of outdated or unpatched browsers [Less than 2 stable versions behind the latest released stable version]
  • Software version disclosure / Banner identification issues / Descriptive error messages or headers (e.g. stack traces, application or server errors).
  • Tabnabbing
  • Open redirect – unless an additional security impact can be demonstrated

Zie ook