Kwetsbaarheden in onze systemen melden (Coordinated Vulnerability Disclosure)

Wij beveiligen onze systemen op een hoog niveau. Ontdekt u toch een kwetsbaarheid? Dan horen wij dit graag van u.

Melding doen

Stuur zo snel mogelijk een e-mail naar cvd@uwv.nl. Zet daarin:

  • het IP-adres of de URL waar het om gaat;
  • een omschrijving van het probleem;
  • hoe wij het probleem kunnen reproduceren en onderzoeken;
  • uw naam, telefoonnummer en e-mailadres.

Versleutel de e-mail met onze PGP-sleutel. U kunt deze sleutel aanvragen door een e-mail te sturen naar cvd@uwv.nl.

Na uw melding

U krijgt binnen 1 dag een ontvangstbevestiging. Binnen 5 dagen reageren wij op uw melding. Ook daarna houden wij u op de hoogte van de voortgang.

Wat wij van u vragen

Wij vragen u nadrukkelijk om de informatie niet met anderen delen. Neem uw verantwoordelijkheid en ga niet verder dan nodig om het probleem aan te tonen. Dat betekent:

  • Plaats geen malware.
  • Kopieer, verander of verwijder geen gegevens. Een alternatief is een ‘directory listing’ van het systeem.
  • Breng geen systeemveranderingen aan.
  • Dring niet meerdere keren het systeem binnen.
  • Maak geen gebruik van ‘brute forcing’ (herhaaldelijk proberen van wachtwoorden) om toegang te krijgen.
  • Maak geen gebruik van ‘denial-of-service’ of ‘social engineering’.

Geen juridische gevolgen

Als u zich aan deze regels houdt, dan doen wij geen aangifte tegen u. Wij behandelen uw melding strikt vertrouwelijk. Ook delen we geen persoonlijke gegevens met anderen zonder uw toestemming, tenzij dit wettelijk verplicht is of als dit moet op basis van een rechterlijke uitspraak.

Beloning

Wij geven nooit een geldbedrag als beloning, maar wij bedanken u wel met een kleinigheid. Als u dat wilt, kunnen wij uw naam noemen als wij het probleem bekendmaken.