Sorry, er gaat iets mis. Probeer de website op een ander apparaat te bezoeken. Meer informatie

Coordinated Vulnerability Disclosure (CVD)

Kwetsbaar­heden melden

Heb je een zwakke plek ontdekt in onze systemen? Dan horen we dat graag. Met jouw hulp kunnen wij misbruik voorkomen en de veiligheid van onze diensten verbeteren.

Welke kwetsbaarheden kun je melden?

Je kunt problemen melden die te maken hebben met onze online dienstverlening, bijvoorbeeld:

  • Cross-Site scripting (XSS)
  • SQL-injectie
  • Cross Site Request Forgery (CSRF)
  • Remote Code Execution
  • Ongeautoriseerde toegang tot gegevens

Goed om te weten

Heb je een valse e-mail, sms of brief (phishing) ontvangen? Lees hier hoe je deze herkent en kunt melden:
Valse e-mail melden

Hoe meld ik een kwetsbaarheid?

Beloning bij melden via HackerOne

Iedereen kan een kwetsbaarheid melden. Ook als je geen klant bij ons bent. Maak hiervoor gebruik van ons formulier op HackerOne.

Meld een kwetsbaarheid via HackerOne

We geven je via HackerOne een passende vergoeding als we kwetsbaarheden verhelpen dankzij jouw melding. Op de HackerOne pagina staan onze beloningsstructuren. Zwitserleven beslist of je voor een beloning in aanmerking komt en wat de hoogte van de vergoeding is. De vergoeding wordt niet uitgekeerd als:

  • Iemand anders dezelfde (of een vergelijkbare) kwetsbaarheid al heeft gemeld.
  • De kwetsbaarheid al bij ons bekend is.
  • Er sprake is van misbruik of schending van spelregels.

Anoniem melden

Je kunt een kwetsbaarheid ook anoniem melden (in het Nederlands of Engels) door een e-mail te sturen naar ResponsibleDisclosure@zwitserleven.nl.

Geef in je e-mail genoeg informatie waarmee we de kwetsbaarheid kunnen reproduceren en verifiëren. Bijvoorbeeld een specifieke URL, een stappenplan of een "proof of concept". Houd er rekening mee dat we je bij een anonieme melding geen beloning kunnen geven.

Spelregels

Zwitserleven waardeert jouw melding zeer, maar we vinden het ook belangrijk dat al onze klanten ongestoord en veilig gebruik kunnen blijven maken van onze online diensten. Volg daarom de volgende spelregels, handel te goeder trouw en vermijd buitenproportionele acties.

Veroorzaak geen schade

Veroorzaak geen schade en verstoor onze dienstverlening niet wanneer je een kwetsbaarheid of beveiligingsprobleem onderzoekt

  • In geen geval mag dit leiden tot onderbreking van onze dienstverlening.
  • Gebruik tijdens het testen maximaal 1 gelijktijdige verbinding of thread.
  • Breng geen wijzigingen aan in onze systemen.
  • Gegevens uit onze systemen mogen niet worden gewijzigd of verwijderd

Verstoor andere gebruikers niet

Verstoor andere gebruikers niet en houd hun gegevens veilig

  • Gebruik alleen je eigen accounts en contactgegevens of accounts en contactgegevens waarvoor je expliciete aantoonbare toestemming van de eigenaar hebt gekregen.
  • Voorkom privacyschending en vernietiging van gegevens.
  • Wees terughoudend bij het opvragen en kopiëren van gegevens. Vraag niet meer gegevens op dan noodzakelijk is om een kwetsbaarheid aan te tonen.
  • Geef nooit klant- of bedrijfsgegevens door aan anderen.
  • Voer geen acties uit die een andere gebruiker mogelijk opmerkt. Plaats bijvoorbeeld geen test op openbare fora, in de commentaren op een openbare pagina, via een DM naar een andere gebruiker, etc.
  • Zorg voor passende beveiliging van je eigen systemen met informatie over de kwetsbaarheid en eventuele testgegevens.

Gebruik geen bruteforce testen

Sociale, fysieke en bruteforce testen zijn niet toegestaan

  • Alle vormen van Denial of Service (DoS), bruteforcing en enumeratie zijn niet toegestaan.
  • Social engineering (bijv. phishing, vishing, smishing) is niet toegestaan.
  • Doe geen aanvallen op onze fysieke beveiliging.

Maak geen misbruik
  • Gebruik kwetsbaarheden die je ontdekt alleen voor je eigen onderzoek en melding en niet voor andere doeleinden.
  • Maak minimaal gebruik van kwetsbaarheden. Doe alleen dat wat nodig is om de om de kwetsbaarheid vast te stellen.
  • Deel geen kwetsbaarheden met andere partijen dan Zwitserleven.
  • Communiceer met onze experts en geef ons de tijd om kwetsbaarheden op te lossen.
  • Implementeer geen achterdeuren en introduceer geen nieuwe aanvullende kwetsbaarheden.

Heb je per ongeluk één van deze regels geschonden? Bijvoorbeeld door het veroorzaken van een publicatie, een verstoring of andere schade, neem dan onmiddellijk contact met ons op: ResponsibleDisclosure@zwitserleven.nl

Wat doet Zwitserleven jouw melding?

Onze beveiligingsexperts onderzoeken je melding. Wij streven er naar om binnen 3 werkdagen een eerste inhoudelijke reactie te sturen.

Jouw privacy

We delen je gegevens niet met anderen en gebruiken ze niet voor andere doeleinden tenzij we daartoe wettelijk worden verplicht, bijvoorbeeld bij vordering door justitie.