Responsible disclosure

Bij TU Delft vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is.

Als u een zwakke plek in één van onze systemen heeft gevonden, dan horen wij dit graag, zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze gebruikers en onze systemen beter te kunnen beschermen.

Ons beleid voor responsible disclosure is geen uitnodiging om ons universiteitsnetwerk uitgebreid actief te scannen om zwakke plekken te ontdekken. Wij monitoren ons bedrijfsnetwerk. Hierdoor is de kans groot dat een scan wordt opgepikt, dat er door onze CERT onderzoek wordt gedaan en er mogelijk onnodige kosten worden gemaakt.

Er bestaat een kans dat u bij uw bevinding handelingen uitvoert die strafbaar zijn. Als u zich aan de onderstaande voorwaarden heeft gehouden zullen wij geen juridische stappen tegen u ondernemen betreffende de melding. Het Openbaar Ministerie behoudt altijd het recht om zelf te beslissen of u strafrechtelijk vervolgd wordt.

Wij vragen u:

  • Uw bevindingen zo snel mogelijk te mailen naar abuse@tudelft.nl.
  • De zwakheid niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of door het veranderen of verwijderen van gegevens.
  • De zwakheid niet met anderen te delen totdat wij hebben aangegeven dat de zwakheid is opgelost en gedeeld mag worden.
  • Geen gebruik te maken van aanvallen op fysieke beveiliging of applicaties van derden, van social engineering, distributed denial-of-service, of spam.
  • Voldoende informatie te geven om de zwakheid te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid en de uitgevoerde handelingen voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Wat wij beloven:

  • Wij reageren binnen 3 werkdagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
  • Wij houden u op de hoogte van de voortgang van het oplossen van de zwakheid.
  • Anoniem of onder een pseudoniem melden is mogelijk. Het is voor u goed om te weten dat dit wel betekent dat wij dan geen contact kunnen opnemen over bijvoorbeeld de vervolgstappen, voortgang van het dichten van het lek, publicatie of de eventuele beloning voor de melding.
  • We kunnen een beloning uitloven voor jouw ontdekking, maar er is geen absolute verplichting om dit te doen. Er is daarom geen automatisch recht op compensatie. De specifieke aard van een beloning is niet vooraf vastgesteld en zal door ons op individuele basis worden besloten. Of we al dan niet een beloning uitloven en in welke vorm, hangt af van de grondigheid van je ontdekking, de kwaliteit van je rapport en de ernst van de kwetsbaarheid.
  • Wij streven er naar om alle problemen zo snel mogelijk op te lossen, alle betrokken partijen op de hoogte te houden en wij worden graag betrokken bij een eventuele publicatie over de zwakheid nadat het is opgelost. 

Ons beleid valt onder een Creative Commons Naamsvermelding 3.0 licentie. Het beleid is gebaseerd op het voorbeeldbeleid van Floor Terra (responsibledisclosure.nl)

Deel deze pagina: