Veiligheid internetdiensten

Meld kwetsbaarheden in onze internetdiensten

Helaas kan er soms toch iets misgaan of zien wij iets over het hoofd.

Ontdekt u een kwetsbaarheid in onze internetdiensten? Laat het ons weten! Dan kunnen we gelijk maatregelen nemen.

Wat kunt u melden?

U kunt kwetsbaarheden in onze internetdiensten melden. 

Voorbeelden hiervan zijn:

• Cross-Site Scripting (XSS) kwetsbaarheden
• kwetsbaarheden voor SQL-injectie
• zwakheden in de inrichting van de beveiligde verbinding

Heeft u een kwetsbaarheid gevonden? Dan vragen wij u dringend om het gevonden probleem bij ons te melden en zo duidelijk en compleet mogelijk toe te lichten.

Hoe kunt u dit melden?

Een ontdekte kwetsbaarheid in onze internetdiensten kunt u per e-mail melden via security@onvz.nl. 

Belangrijk om te weten:

• wij vragen u om het probleem alleen met de experts van ONVZ te delen en het probleem niet openbaar te maken of met derden te delen. Zo houden we de gegevens van onze klanten veilig
• bij uw onderzoek naar de gevonden kwetsbaarheid mag u onze programma’s niet beschadigen
• ook mag onze dienstverlening door uw onderzoek nooit onderbroken worden
• misschien doet u bij uw onderzoek iets wat volgens de wet niet mag. Als u daarbij te goeder trouw, zorgvuldig en volgens onderstaande spelregels heeft gehandeld, doen wij geen aangifte

Welke spelregels gebruiken wij?

Doet u onderzoek naar kwetsbaarheden in onze internetdiensten, doe dat dan volgens onderstaande spelregels:

• gebruik geen social engineering om toegang te krijgen tot onze systemen
• plaats geen backdoor in een informatiesysteem om de zwakke plek te laten zien
• doe alleen wat strikt noodzakelijk is om een kwetsbaarheid aan te tonen
• kopieer, wijzig of verwijder geen gegevens. Stuur ons alleen de (minimale) gegevens die u nodig heeft om het probleem aan te tonen. Maak bijvoorbeeld een directory listing of screenshot
• beperk uw pogingen om toegang te krijgen tot het systeem zoveel mogelijk
• deel gegevens over de toegang die u heeft gekregen niet met anderen
• gebruik geen zogenaamde bruteforce attacks om in onze systemen te komen

Wat doen wij precies met uw melding?

• U hoort binnen 3 werkdagen wat wij met uw melding doen
• Is het een serieus beveiligingsprobleem waarvan wij nog niet op de hoogte waren? Dan krijgt u van ons als dank een passende beloning
• Wij gebruiken uw contactgegevens alleen om met u over de melding te communiceren. Wij delen deze niet met anderen, behalve als we dit wettelijk verplicht zijn – bijvoorbeeld als justitie dit van ons vraagt. Of als wij uw actie zien als een strafbaar feit (u dus niet te goeder trouw heeft gehandeld) en wij aangifte doen bij de politie

Als u uw melding anoniem doet, kunnen wij u helaas niet op de hoogte houden. Ook kunnen wij u dan geen beloning geven.

Valse email melden

ONVZ kan u e-mails sturen met een iDEAL-link, bijvoorbeeld voor het betalen van uw premie en eigen risico. Zo willen we het u zo makkelijk mogelijk maken uw rekeningen te betalen. Twijfelt u of zo’n e-mail afkomstig is van ONVZ? Controleer dan of de rekening past bij de informatie die u vindt in MijnONVZ of de ONVZ app. Als u wilt, kunt u daar ook direct uw rekening betalen met iDEAL.

Komt de mail die u uit naam van ONVZ ontvangen heeft niet overeen met de informatie in MijnONVZ of de ONVZ app? Dan zou het kunnen gaan om een phishing email. Klik in dat geval niet op linkjes in de mail, maar stuur de mail door naar valse-email@onvz.nl. Zodat we de mail kunnen analyseren en waar nodig andere klanten kunnen waarschuwen. 

Als we veel meldingen tegelijk ontvangen, dan kan het zijn dat u geen reactie van ons ontvangt. Uw mail wordt wel opgepakt. Omdat valse email meldingen geen kwetsbaarheden in onze internetdiensten aan het licht brengen, wordt hiervoor geen beloning verstrekt.

Nationaal Cyber Security Centrum

Deze coordinated vulnerability disclosure-regeling is gebaseerd op de leidraad coordinated vulnerability disclosure van het NCSC. Zie ook de website van het NCSC: www.ncsc.nl.