Verantwoorde openbaarmaking
Voor de VPRO is het essentieel dat onze systemen en data veilig zijn. Daarom doen we ons uiterste best om te zorgen voor een goede beveiliging ervan. Desondanks kan het gebeuren dat er zwakke plekken in de beveiliging zitten en dat onze systemen daardoor kwetsbaar zijn. We roepen dan ook een ieder die een kwetsbaarheid heeft ontdekt, op om op basis van verantwoorde openbaarmaking (ofwel Responsible Disclosure) hiervan melding bij ons te maken.
Terug naar
Verantwoorde openbaarmaking
De VPRO vraagt ontdekkers van zwakke plekken en kwetsbaarheden op basis van het principe verantwoorde openbaarmaking (Responsible Disclosure) deze bij ons te melden via responsibledisclosure@vpro.nl. Daarmee draag je bij aan het veilig houden en maken van onze systemen en kunnen wij direct passende maatregelen treffen om de gevonden kwetsbaarheid te verhelpen.
Bij de VPRO vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is.
Als jij een zwakke plek in een van onze systemen hebt gevonden, horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met jou samenwerken om onze achterban en onze systemen beter te kunnen beschermen.
Wij vragen jou
- Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen,
- Je bevindingen te mailen naar responsibledisclosure@vpro.nl,
- Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, verwijderen of aanpassen,
- Het probleem niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek te wissen,
- Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden, en
- Per melding één kwetsbaarheid te melden.
Wat een geldige melding bevat
- De URL of het IP-adres van het getroffen systeem,
- Duidelijke reproductiestappen of een werkende proof-of-concept,
- Een omschrijving van de daadwerkelijke beveiligingsimpact: wat kan een aanvaller hier realistisch gezien mee?
Meldingen die bestaan uit ongeverifieerde output van geautomatiseerde scantools of AI-tools nemen wij niet in behandeling. Wij verwachten dat je je bevinding handmatig hebt geverifieerd voordat je deze meldt.
Buiten scope
De volgende zaken vallen buiten de scope en komen niet in aanmerking voor een reactie, vermelding of beloning:
- Output van geautomatiseerde scanners zonder gevalideerde proof-of-concept,
- Ontbrekende security headers (zoals CSP, X-Frame-Options, HSTS) zonder aangetoonde exploit,
- SPF-, DKIM- of DMARC-configuratiekwesties,
- Het tonen van softwareversies of banners zonder werkende exploit,
- Self-XSS,
- Clickjacking op pagina's zonder gevoelige acties,
- Ontbrekende rate limiting of andere afwijkingen van "best practices" zonder aangetoonde beveiligingsimpact,
- Het gebruik van verouderde software of libraries zonder aangetoonde kwetsbaarheid,
- Theoretische problemen zonder realistisch aanvalsscenario.
Wat wij beloven
- Wij reageren op alle geldige meldingen binnen de scope. Bij ernstige kwetsbaarheden met grote impact reageren wij binnen 3 werkdagen met onze beoordeling en een verwachte datum voor een oplossing; bij overige geldige meldingen streven wij ernaar binnen 6 werkdagen te reageren. Meldingen die niet aan bovenstaande eisen voldoen, beantwoorden wij mogelijk niet.
- Als jij je aan bovenstaande voorwaarden hebt gehouden zullen wij geen juridische stappen ondernemen betreffende de melding.
- Wij behandelen jouw melding vertrouwelijk en zullen je persoonlijke gegevens niet zonder jouw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk.
- Wij houden je op de hoogte van de voortgang van het oplossen van het probleem.
- In berichtgeving over het gemelde probleem zullen wij, indien je dit wenst, jouw naam vermelden als de ontdekker.
- De VPRO waardeert je hulp. Uitsluitend bij een geldige melding, binnen de scope, van een voor de VPRO onbekende én serieuze kwetsbaarheid kun je een beloning ontvangen: een vermelding op onze Wall of Fame en/of een klein niet-geldelijk blijk van waardering, afhankelijk van de ernst van de kwetsbaarheid en de kwaliteit van de melding. Meldingen buiten de scope en ongeverifieerde scanner-output komen nooit in aanmerking.
Wij streven er naar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.
Wall of fame
Hier bedanken wij de mensen die bij ons een kwetsbaarheid melden op basis van ons verantwoorde openbaarmakingsbeleid.
- Harsh Dineahbhai maheta
- Rokkam Vamshi
- Nikhil Rane
- Adrian Tirado Garcia
- Arjun E
- Björn Larsson
- Himanshu Kumar
- Kartik Bansal
- Keyur Mehta
- Mahmoud Elgendy
- Parag Bagul
- Sabarinath Panikken
- Sergen Koç
- Sumit Patel
- Suraj Yadav
- Shrivallabh Walkade
- Vaibhav Survase
- Abdelrahman Ibrahim Farg
- Abdul Rauf Memon
- Martin van Wingerden
- Yogesh Bhandage