Kwetsbaarheden melden
De bescherming van het geld en de gegevens van onze gebruikers is onze topprioriteit. Maar toch kan het zijn dat je een fout vindt in onze beveiliging. Je kunt ons helpen door deze kwetsbaarheid te melden.
Meld een kwetsbaarheid altijd zo snel mogelijk en vraag ons om toestemming voordat je de kwetsbaarheid openbaar maakt. Het openbaar maken van de kwetsbaarheid, voordat wij een oplossing hebben gevonden, kan ernstige gevolgen hebben voor onze klanten. Daarom werken wij graag eerst samen aan een oplossing.
Een kwetsbaarheid melden
Deel de gevonden fout direct met ons op [email protected]. Het team zal deze inbox in de gaten houden en zal snel reageren. Voeg bij het melden de volgende informatie toe, zodat wij het direct op kunnen pakken:
- Ernst van de fout
- Is het Informatief / Laag / Gemiddeld / Hoog / Kritisch? Je kunt de CVSS berekening gebruiken om de impact te beoordelen.
- Leg uit welke kwetsbaarheid je hebt gevonden en geef ons voldoende
informatie om het probleem te reproduceren en te onderzoeken, bijvoorbeeld:
- Screenshot / Proof of Concept - App versie
De spelregels
Het kan zijn dat je illegale activiteiten hebt moeten uitvoeren om een kwetsbaarheid te ontdekken. Wij zullen deze activiteiten niet melden of een schadevergoeding eisen wanneer je je aan deze regels hebt gehouden:
- handel verantwoordelijk met de kennis over de kwetsbaarheid, en voer geen handelingen die verder gaan dan wat nodig is om de fout aan te tonen;
- deel de toegang niet met anderen;
- veroorzaak geen schade;
- maak geen gebruik van een denial-of-service aanval of social engineering;
- zorg ervoor dat je onderzoek niet leidt tot een onderbreking van onze diensten;
- jouw onderzoek mag er nooit toe leiden dat bank- en/of klantgegevens openbaar worden;
- plaats nooit een achterdeur, ook niet om een kwetsbaarheid aan te tonen
- wijzig of verwijder nooit gegevens. Als je gegevens moet kopiëren, kopieer dan nooit meer gegevens dan strikt noodzakelijk;
- breng geen wijzigingen aan in het systeem;
- probeer niet vaker dan nodig in een systeem binnen te dringen;
- gebruik geen brute kracht technieken;
- gebruik geen technieken die de beschikbaarheid van onze diensten kunnen beïnvloeden;
- houd altijd rekening met de geldende wetten en voorschriften, want je kunt nog steeds in de problemen komen met de wet, zelfs als we je niet aangeven bij de autoriteiten.
Wat gebeurt er als ik een kwetsbaarheid meld?
Direct na ontvangst van de melding starten wij een onderzoek. We komen altijd binnen enkele dagen terug op je melding en houden je op de hoogte van onze vorderingen bij het oplossen van het probleem. De tijd die we nodig hebben om een probleem op te lossen is afhankelijk van de complexiteit. Nadat je een probleem hebt gemeld, vragen we je om het niet openbaar te maken om ons de tijd te geven om het probleem eerst op te lossen. Wij behandelen de ontvangen meldingen vertrouwelijk. Wij zullen je persoonlijke gegevens niet zonder jouw toestemming aan derden doorgeven, tenzij de wet of een gerechtelijk bevel ons hiertoe verplicht.
Kan ik een beloning krijgen voor het melden van een probleem?
Als dank voor je hulp kunnen wij je een beloning aanbieden, maar wij zijn nooit verplicht om een beloning aan te bieden. Wij bieden alleen beloningen aan voor gebreken die ons op het moment van de melding niet bekend waren. Wij zullen het type en de grootte van de beloning bepalen op basis van het gemelde probleem, rekening houdend met de ernst van het probleem (onder andere). In het geval dat meerdere mensen hetzelfde probleem melden, zullen we alleen een beloning geven aan de eerste melder. Wij kunnen je een gratis versie van Flow+ for life geven (Life Time Deal).