Meldpunt kwetsbaarheden
Responsible disclosure
Ben je deskundig en ontdek je een kwetsbaarheid in onze systemen? Help ons dan door deze kwetsbaarheid te melden. Zo kunnen we samen de veiligheid en betrouwbaarheid van onze systemen verbeteren.
ANWB en veiligheid
De ANWB vindt het leveren van veilige en betrouwbare producten en diensten erg belangrijk. Ondanks alle effort die we in de beveiliging van onze systemen steken, kunnen er nog steeds kwetsbaarheden in onze systemen aanwezig zijn.
Ontdek je een kwetsbaarheid in onze systemen of dienstverlening? Dan kun je onze klanten en ons helpen door deze op een verantwoordelijke manier aan ons te melden.
Een team van security experts zal je bevinding(en) onderzoeken. Binnen drie werkdagen ontvang je een e-mail met een eerste reactie. Het is echter mogelijk dat er een vertraging ontstaat bij het beantwoorden van je bevinding(en) als gevolg van werkdruk, feestdagen of vakantie.
Waar is dit programma NIET voor bedoeld?
Ons responsible disclosure-beleid is geen uitnodiging om ons bedrijfsnetwerk en websites uitgebreid actief te scannen op zwakke plekken. Dit doen wij als organisatie zelf. Daarnaast worden onze IT-omgevingen continue gemonitord. De kans is daarom groot dat een dergelijke scan tot ongewenste en onnodige onderzoekskosten leidt.
Daarnaast is het responsible disclosure meldpunt niet beschikbaar voor:
- Het indienen van klachten over de dienstverlening of producten van ANWB
- Vragen of klachten over de beschikbaarheid van ANWB-websites of Apps
Meldpunt kwetsbaarheden spelregels
Respecteer de volgende programmaregels voor het melden van een kwetsbaarheid:
- Zorg ervoor dat je tijdens het onderzoeken van de gevonden kwetsbaarheid geen schade aanricht.
- Maak geen gebruik van social engineering om toegang te krijgen tot een systeem.
- In geen geval mag je onderzoek leiden tot onderbreking van onze online dienstverlening.
- In geen geval mag je onderzoek leiden tot openbaarmaking van ledengegevens / klantgegevens.
- Plaats geen backdoor in een systeem. Ook niet om de kwetsbaarheid aan te tonen. Door het plaatsen van een backdoor in een systeem, wordt dat systeem nog onveiliger.
- Wijzig of verwijder geen gegevens in het systeem. Is het voor het onderzoek nodig om gegevens uit het systeem te kopiëren? Kopieer dan nooit meer gegevens dan nodig. Als één record voldoende is voor je onderzoek, ga dan niet verder.
- Breng geen systeemveranderingen aan.
- Probeer niet vaker dan nodig een systeem binnen te dringen. Als het lukt om een systeem binnen te dringen, deel de toegang dan niet met anderen.
- Gebruik geen bruteforce-technieken (herhaaldelijk proberen van wachtwoorden) om toegang tot systemen te krijgen.
Jouw privacy
We gebruiken je persoonsgegevens alleen om actie te ondernemen op je melding. We geven je persoonsgegevens niet zonder jouw toestemming aan anderen, tenzij wij op grond van de wet je gegevens moeten afstaan. Of als we een ander bedrijf inschakelen om je melding verder te onderzoeken. In dat geval zullen we er altijd voor zorgen dat ook zij op hun beurt op dezelfde manier als wij je gegevens geheim houden.
Hoe kan je een melding doen?
Je kunt je melding met rapport mailen aan isc@anwb.nl.
Schrijf je rapport op een duidelijke en beknopte manier. In het bijzonder:
- De stappen die je ondernam
- De volledige URL
- Wat de eventueel betrokken objecten zijn (bijvoorbeeld welke invoervelden of filters)
- Hoe te reproduceren
Wat kan je melden?
Voorbeelden van kwetsbaarheden die gemeld kunnen worden:
- Remote Code execution
- Cross Site Scripting (XSS)-kwetsbaarheden
- Cross Site Request Forgery (CSRF) kwetsbaarheden
- SQL injectiekwetsbaarheden
- Ongeautoriseerde toegang tot gegevens
Uitgesloten is het melden van:
- Alle meldingen zonder een duidelijk rapport met het bewijs van mogelijke exploitatie
- Ons beleid ten aanzien van de aanwezigheid of afwezigheid van DNSSEC / SPF / DKIM / DMARC records
- Cross Site Request Forgery (CSRF) kwetsbaarheden on statische pagina’s (alleen op pagina’s na inloggen)
- Redirection van HTTP naar HTTPS
- HTML does not specify charset
- HTML uses unrecognized charset
- Cookie zonder HttpOnly vlag
- Geen gebruik van HTTP Strict Transport Security (HSTS)
- Clickjacking of de afwezigheid van X-Frame-Options op niet inlog pagina’s
- Het cachen van HTTPS antwoord pagina’s
- User enumeration op websites
- Mogelijk verouderde server- of applicatie versies (van externe partijen) zonder bewijs dat deze versies kwetsbaar zijn en bewijs van exploitatie.
- Rapporten van onveilige SSL / TLS protocollen en andere misconfiguraties
- Generieke kwetsbaarheden gerelateerd aan software of protocollen die niet onder controle van ANWB vallen
- Distributed Denial of Service (DDoS) aanvallen
- Spam of Social Engineering technieken
- Rapporten van reguliere scans zoals poortscanners