Een overlijden melden: 078 05 05 78 Andere vragen: 02 800 87 87
Zoek
Vind een makelaar
NL FR
Menu
Zoek
Contact

Contact

Customer Service 02 800 87 87
Overlijden melden 078 05 05 78
NL FR

Beveiligingsprobleem ontdekt? Krijg een beloning.

Bij DELA hechten we veel belang aan de veiligheid en privacy van jou als gebruiker. We zijn ons bewust van de beveiligingsrisico’s en streven ernaar om onze systemen zo goed mogelijk te beschermen. Ontdek je toch een kwetsbaarheid? Laat het ons weten, zodat we jouw veiligheid en die van andere gebruikers kunnen blijven garanderen.

Let op: deze responsible disclosure policy geeft geen toestemming om onze systemen actief te hacken en zo zwakke plekken te ontdekken.

Bekijk eerdere meldingen

Snelkoppelingen

Wat kan ik melden?

Voorbeelden van kwetsbaarheden die je kan melden, zijn:

  • Het ontbreken van een beveiligde verbinding
  • Cross-Site Scripting (XSS)-kwetsbaarheden
  • SQL injectie-kwetsbaarheden

Heb je één van deze zwakke plekken ontdekt? Vaak volstaat het om het IP-adres of de URL aan ons door te geven. Vertel ons wat je hebt geconstateerd en/of welke handelingen je hebt uitgevoerd toen je dit ontdekte. Gaat het om een ingewikkelder probleem? Dan kan het zijn dat wij contact met je opnemen voor meer informatie.

Heb je een serieus probleem ontdekt? Dan krijg je van ons een beloning. Hoe dat werkt en wat de regels precies zijn, lees je bij ‘Voorwaarden voor beloning’.

Soms geven we geen beloning. Dat is het geval als het gaat om een zwakke plek die we al kennen of om iets waarvan we het risico accepteren, zoals:

  • HTTP 404-codes of andere niet HTTP 200-codes
  • Onversleutelde tekst in 404-pagina’s
  • Ontbreken van ‘secure’/‘HTTP Only’-vlaggen op niet-gevoelige cookies
  • Gebruik van de HTTP OPTIONS Method
  • Het ontbreken van één of meerdere HTTP Security Headers
  • Ontbreken van SPF-, DKIM- en DMARC-records
  • Ontbreken van DNSSEC
  • Versiebanners op publieke services
  • Host Header Injection
  • Publiek toegankelijke bestanden en mappen met niet-gevoelige informatie
  • Clickjacking op pagina’s zonder inlogfunctie
  • Cross-site request forgery (CSRF) op formulieren die anoniem toegankelijk zijn
  • DDOS kwetsbaarheden
  • Rate limiting kwetsbaarheden zonder duidelijke impact
  • Issues met beveiligingscertificaten (SSL certificaten)

Wat kan ik niet melden?

Je mag dit Responsible Disclosure-beleid niet gebruiken voor het melden van klachten. Ook is deze regeling niet bedoeld voor het melden van:

  • Virussen
  • Nep e-mails (phishing)
  • Onbeschikbaarheid van onze websites
  • Fraude

Ik wil iets melden

Jouw melding maakt een verschil voor onze veiligheid. Versleutel je melding eerst met onderstaande PGP sleutel en verstuur deze daarna.

PGP sleutelMelding doen

Spelregels

  • Deel je bevindingen alleen met ons en maak ze niet openbaar, ook niet als je vindt dat het lang duurt. Soms hebben we wat meer tijd nodig om het probleem op te lossen.
  • Gebruik geen geautomatiseerde tooling om beveiligingsproblemen te ontdekken.
  • Misbruik het probleem niet: download bijvoorbeeld niet meer data dan nodig om het lek aan te tonen en verander of verwijder geen gegevens. Wees extra terughoudend als het om persoonsgegevens gaat.
  • Verspreid geen gevonden gegevens.
  • Stuur ons alleen (minimale) gegevens die nodig zijn om het probleem aan te tonen (bv. via directory listing of een screenshot).
  • Plaats geen backdoor om een beveiligingsprobleem aan te tonen. Hiermee kan je extra schade aanrichten en onnodige veiligheidsrisico’s veroorzaken.

Misschien doe je bij je onderzoek iets wat volgens de wet niet mag. Wij doen geen aangifte als je daarbij te goeder trouw, zorgvuldig en volgens bovenstaande spelregels handelt.

Wat gebeurt er na mijn melding?

Binnen de 3 werkdagen hoor je van ons wat wij met je melding gaan doen. Wij gebruiken je contactgegevens alleen voor communicatie over de melding en delen ze niet met anderen, behalve als dit moet volgens de wet. Bijvoorbeeld als justitie ons dit vraagt of als wij merken dat je niet te goeder trouw hebt gehandeld (dus als je iets doet dat strafbaar is) en wij daardoor genoodzaakt zijn om aangifte te doen bij de politie.

Anonieme meldingen kunnen niet beloond worden.

Voorwaarden voor beloning

Is het een serieus beveiligingsprobleem én gaat het om een probleem dat wij nog niet kennen? Dan willen we je graag extra bedanken met één of meerdere cadeaubonnen (ter waarde van maximaal € 300) en eeuwige roem met een vermelding in onze ‘Hall of Fame’. De hoogte van de cadeaubonnen hangt af van het risico en de impact van het ontdekte beveiligingsprobleem.

We doen ons best om vergelijkbare problemen een vergelijkbare beloning te geven. Vermelding in onze Hall of Fame kan met je eigen naam of met een (normale) alias. Als je wil, kunnen we een link toevoegen naar je LinkedIn- of X-profiel (geen Facebook of Instagram).

Let op: Als wij vinden dat er geen beveiligingsprobleem is of als wij vinden dat het risico laag en/of acceptabel is, dan geven we geen beloning.

Bij meerdere meldingen gaat de beloning naar de eerste melder.

britse vlagEnglish