Beveiliging niet in orde? Meld het

Bij MBO Utrecht vinden we de veiligheid van onze systemen en bescherming van de informatie die we beheren belangrijk. We besteden daarom veel aandacht aan beveiliging van onze systemen. Ondanks deze zorg kan het voorkomen dat er toch ergens een zwakke plek is. Als u een zwakke plek heeft gevonden, laat het ons dan weten, zodat we snel de juiste maatregelen kunnen nemen. We werken graag samen om de gegevens van onze studenten en medewerkers en onze systemen goed te blijven beschermen.

Daarvoor hebben we onderstaand responsible disclosure beleid bescheven, waarin we je vragen om:

  • je bevindingen te mailen naar security@mboutrecht.nl. Versleutel de bevindingen met onze PGP sleutel om te voorkomen dat de informatie in verkeerde handen valt.
  • voldoende informatie te geven, zodat we de melding zo effectief mogelijk kunnen behandelen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • het probleem niet te misbruiken, bijvoorbeeld door meer data te downloaden dan nodig is om de zwakheid aan te tonen of om gegevens van derden in te kijken, te verwijderen of aan te passen.
  • het probleem niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen door het beveiligingslek direct na het dichten van het lek te wissen.
  • geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden.
  • geen actief misbruik te maken van het beveiligingslek.

Je mag van MBO Utrecht verwachten dat:

  • je binnen vijf werkdagen een reactie ontvangt met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • wanneer je je hebt gehouden aan bovenstaande voorwaarden er geen juridische stappen tegen je ondernomen worden betreffende de melding.
  • de melding vertrouwelijk wordt behandeld en je persoonlijke gegevens niet zonder toestemming met derden worden gedeeld, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk.
  • je op de hoogte wordt gehouden van de voortgang van het oplossen van het probleem.
  • Als je dit wil je met naam wordt vermeld als de ontdekker in de hal of fame.
  • Je als dank voor de hulp een beloning wordt geboden voor elke melding van een ons nog onbekend beveiligingsprobleem. De hoogte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding.

Wij streven er naar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem, nadat het is opgelost.

Geen uitnodiging tot actief scannen

Het beleid voor responsible disclosure is geen uitnodiging om onze ICT-systemen actief te scannen om zwakke plekken te ontdekken. MBO Utrecht monitort zelf haar ICT-systemen.

Strafrechtelijke vervolging

Het is mogelijk dat je tijdens het onderzoek handelingen uitvoert die volgens het strafrecht strafbaar zijn. Houdt je je aan bovenstaande voorwaarden, dan ondernemen wij geen juridische stappen tegen je. Het Openbaar Ministerie heeft echter altijd het recht om over te gaan tot strafrechtelijke vervolging. Hierover heeft het Openbaar Ministerie deze beleidsbrief gepubliceerd.

Niet in scope:

Wij geven geen beloning voor triviale kwetsbaarheden of bugs die niet misbruikt kunnen worden.
Hierbij kan je denken aan de volgende voorbeelden die buiten bovenstaande regeling vallen:

  • HTTP 404 codes/pagina’s of andere HTTP non-200 codes/pagina’s en content spoofing/text injecting op deze pagina’s,
  • fingerprinting/versievermelding op publieke services
  • ontbrekende best practices of output van geautomatiseerde scanhulpmiddelen zonder bewijs van exploiteerbaarheid;
  • output geautomatiseerde scans van hulpprogramma’s. Voorbeeld: Web-, SSL / TLS-scan, Nmap-scanresultaten, enz.
  • publieke bestanden of directories met ongevoelige informatie (bijvoorbeeld robots.txt)
  • clickjacking en problemen die alleen te exploiten zijn via clickjacking
  • geen secure/HTTP-only flags op ongevoelige cookies
  • alles gerelateerd tot HTTP security headers, bijvoorbeeld:
    • Strict-Transport-Security
    • X-Frame-Options
    • X-XSS-Protection
    • X-Content-Type-Options
    • Content-Security-Policy
  • issues met SSL-configuratie, bijvoorbeeld:
    •  SSL Forward secrecy uitgeschakeld
    • zwakke/onveilige cipher suites
  • issues met SPF, DKIM of DMARC
  • rapporteren van verouderde versies van enige software zonder een proof of concept van een werkende exploit
  • informatieblootstelling in metadata.

Dit is versie 1.0, gepubliceerd op 4 juli 2023, van ons beleid aangaande Responsible Disclosure.
Ons beleid valt onder een Creative Commons Naamsvermelding 4.0 licentie. Het beleid is gebaseerd op het voorbeeldbeleid van Surf.
Eventuele nieuwe versies worden ook op deze locatie gepubliceerd.

HALL OF FAME
2024

Gaurang Maheta (LinkedIn) with 3 low issues
Parth Narula with 2 low issues

Mis geen studiekeuze-event

Blijf op de hoogte van onze Open Dagen en andere events!

Schrijf je in