Close-up van ICT-er aan het werk achter laptops en computers

Heb je een kwetsbaarheid ontdekt in onze systemen?

De informatie op deze pagina is bedoeld voor beveiligingsonderzoekers die kwetsbaarheid willen melden aan CNV.

Mocht je een kwetsbaarheid ontdekken die wij over het hoofd hebben gezien. Laat het ons dan weten, zodat we het zo snel mogelijk kunnen oplossen. Zo'n melding van kwetsbaarheden heet ook wel responsible disclosure. Hieronder lees je hoe je een responsible disclosure bij ons doet.

Hoe meld je een kwetsbaarheid?

Je kunt een kwetsbaarheid op de volgende wijze bij ons melden:

  • Mail de gegevens over de gevonden kwetsbaarheid via onderstaande knop. Bij voorkeur stuur je het bericht, eventueel met bijlagen, versleuteld. Je kan voor het versleutelen gebruik maken van onze GPG key.
  • Beschrijf in je rapportage zo duidelijk mogelijk hoe het probleem gereproduceerd kan worden. Vaak is het IP adres of de URL van het desbetreffende systeem en beschrijving van de kwetsbaarheid genoeg. Voor complexere kwetsbaarheden is soms meer informatie vereist. Als we informatie tekort komen nemen we contact met je op.
  • Laat ons ook weten hoe je bereikbaar bent terwijl we het probleem aan het oplossen zijn. Bij voorkeur een e-mailadres.

Wat doen we met een melding?

  • Binnen drie werkdagen ontvang je een bevestiging van ontvangst voor van je rapport.
  • Binnen vijf werkdagen reageren we inhoudelijk op je melding en vertellen we je wanneer het probleem is opgelost. Tekortkomingen worden zo snel mogelijk verholpen.
  • We houden je op de hoogte van de voortgang bij het oplossen van het probleem dat je hebt gesignaleerd, tenzij je bij ons aangeeft dat dit niet gewenst is. In dat geval zal je geen bevestiging of updates ontvangen.
  • Voor het melden van een bij ons onbekend beveiligingsprobleem ontvang je een beloning. Deze is minimaal een waardebon van €50. We bepalen de hoogte van de beloning op basis van de ernst van het probleem en de kwaliteit va je melding.

Wat hoef je niet bij ons te melden?

  • Theoretische kwetsbaarheden zonder bewijs van de daadwerkelijke aanwezigheid van een kwetsbaarheid.
  • Uitputting van bronnen / (gedistribueerd) Denial of Service
  • Cosmetische problemen, bijvoorbeeld dat iets er in een bepaalde browser niet goed uit ziet.
  • Phishing en/of social engineering van CNV medewerkers, gebruikers of klanten.
  • Eenvoudige fingerprinting of versielijsten op OS, diensten of poorten.
  • Onvolledige of ontbrekende SPF, DKIM of DMARC records.
  • Het ontbreken van zwakke HTTP-beveiligingsheaders, tenzij dit ontbreken van een beveiligingsheader aantoonbaar tot een beveiligingsprobleem leidt.
  • TLS-misconfiguraties zonder een bewijs van concept om de zwakte uit te buiten
  • Verlopen SSL-certificaten, tenzij het verlopen certificaat aantoonbaar tot een beveiligingsprobleem leidt.

Als je twijfelt je een door jou gevonden gebrek moet melden, dat het dan alsnog. Dan maken wij de afweging of het gebrek een kwetsbaarheid is en vervolgacties ondernemen.

Er kunnen ook gebreken of kwetsbaarheden zijn die we al kennen en waar we aan werken, of die we beschouwen als acceptabel risico. Deze specifieke problemen worden niet vermeld op onze website, maar ons Security Operations team weet ervan. Wanneer dit het geval is, zal het Security Operations team je daarover informeren. Soms kan het zijn dat je melding om deze reden niet in behandeling wordt genomen.

Andere belangrijke punten

  • Houd de bevindingen geheim!
  • Navigeer niet dieper in onze systemen dan nodig is voor het aantonen van een probleem.
  • Maak geen misbruik van kwetsbaarheden die je hebt ontdekt.
  • Bewaar CNV data niet langer op je eigen omgeving langer dan nodig is om de kwetsbaarheid aan te tonen.
  • Is er sprake van één onderliggend probleem, dat meerdere kwetsbaarheden veroorzaakt? Dan krijg je één beloning.

Onze disclosure policy

Als je je melding volgens de procedure indient, zijn er geen juridische gevolgen in verband met je melding. We behandelen je melding vertrouwelijk en delen je persoonsgegevens niet met derden zonder je toestemming, tenzij wij daartoe gedwongen worden door de wet of een rechterlijk bevel ontvangen.

Kwetsbaarheid ontdekt? Laat het ons weten!