Oasen vindt het belangrijk dat haar online diensten veilig zijn. Ondanks al onze zorg en inzet kunnen er situaties ontstaan waarin sprake is van een zwakke plek (of vermoeden daartoe) in onze beveiliging: een beveiligingslek. Als u denkt dat ueen zwakke plek in één van onze diensten hebt gevonden, willen we graag met u samenwerken om deze situatie zo spoedig mogelijk op te lossen. Daarom verzoeken we u deze informatie met ons te delen.
Richtlijnen bij het melden van een beveiligingslek
Om misbruik van het beveiligingslek door anderen te voorkomen, vragen we u om bij een melding de volgende richtlijnen te volgen*:
- Meld beveiligingslekken (of het vermoeden daarvan) bij Oasen via het e-mailadres CVD@oasen.nl (kan ook anoniem).
- Geef voldoende informatie (bijvoorbeeld een uitgebreide beschrijving inclusief IP-adressen, logs, hoe te reproduceren, screenshots, enzovoort), zodat we uw melding zo effectief mogelijk kunnen behandelen.
- Maak geen actief misbruik van het beveiligingslek. Als dit toch gebeurt, zal dit leiden tot aangifte.
- Deel het beveiligingslek niet met anderen, totdat het lek is hersteld.
Nadat een beveiligingslek is gemeld bij Oasen, zullen we uiterlijk binnen vijf werkdagen contact met u opnemen om afspraken te maken over een redelijke herstelperiode en een eventuele gecoördineerde publicatie van het beveiligingslek.
*De richtlijnen zijn gebaseerd op de Leidraad om te komen tot een praktijk van Responsible Disclosure, opgesteld door het Nationaal Cyber Security Centrum, onderdeel van het Ministerie van Veiligheid en Justitie.
Hall of Fame
| Datum | Melder | Melding |
|---|
| 20/09/18 | Abhishek Tiwari | Kwetsbaarheid 'front-end SQL Injection' techniek |
| 10/09/18 | Pranshu Tiwari | (Beperkte) informatie zichtbaar software van een server |
| 29/08/18 | Abhishek Misal | Kwetsbaarheid 'clickjacking' techniek |
| 01/08/18 | Umesh Jore | (Beperkte) informatie zichtbaar software van een server |