Beveiligingsmelding

Oasen vindt het belangrijk om veilige diensten te leveren. Ondanks al onze zorg en inzet kunnen er situaties ontstaan waarin sprake is van een zwakke plek (of vermoeden daarvan) in onze beveiliging: een beveiligingslek. Als u denkt dat u een kwetsbaarheid in één van onze diensten hebt gevonden, horen we dat graag. Daarom vragen we u deze informatie met ons te delen.

Richtlijnen bij het melden van een beveiligingslek

Om misbruik van het beveiligingslek door anderen te voorkomen, vragen we u om bij een melding de volgende richtlijnen te volgen: 

- Meld beveiligingslekken (of het vermoeden daarvan) bij Oasen via CVD@oasen.nl

- Geef voldoende informatie (bijvoorbeeld een uitgebreide beschrijving inclusief IP-adressen, logs, hoe te reproduceren, screenshots, enzovoort), zodat we uw melding zo effectief mogelijk kunnen behandelen. 

- Maak geen actief misbruik van het beveiligingslek. Als dit toch gebeurt, zullen wij aangifte doen. 

- Deel het beveiligingslek niet met anderen, totdat het lek is hersteld. 

*De richtlijnen zijn gebaseerd op de Leidraad om te komen tot een praktijk van Responsible Disclosure, opgesteld door het Nationaal Cyber Security Centrum, onderdeel van het Ministerie van Justitie en Veiligheid. 

Maak een melding

Wat mag u verwachten?

  • Nadat een beveiligingslek is gemeld bij Oasen, nemen we uiterlijk binnen vijf werkdagen contact met u op om afspraken te maken over een redelijke herstelperiode en een eventuele gecoördineerde publicatie van het beveiligingslek. 
  • We lossen de kwetsbaarheid zo snel mogelijk op. De looptijd daarvan is afhankelijk van verschillende factoren, waaronder de complexiteit van de kwetsbaarheid.  
  • We vinden het belangrijk om u de waardering te geven die u verdient. Mochten wij een kwetsbaarheid vinden naar aanleiding van uw melding, dan bieden wij een plek aan op onze Hall of Fame. In de Hall of Fame vernoemen wij personen die een kwetsbaarheid van onze systemen hebben gemeld voor een periode van 3 jaar.  

Hall of Fame

Dankzij meldingen van deze personen hebben wij onze beveiliging verder kunnen verbeteren.

DatumMelderMelding

23-10-2024

Kwetsbaarheid Jaarverslag-site Applicatie Level DOS

26-7-2023 

Kwetsbaarheid Google Map-key

16-1-2023

Mogelijkheid tot subdomain takeover

10-12-2021

Kwetsbaarheid Transport Layer Security