Beveiliging
Beveiliging niet optimaal? Meld het ons!
Dunea vindt het belangrijk om veilige diensten te leveren. Ondanks al onze zorg en inzet kunnen er situaties ontstaan waarin sprake is van een zwakke plek in onze beveiliging (of vermoeden daarvan): een beveiligingslek. Vermoedt u een zwakke plek in één van onze diensten? Dan vragen we u dat met ons te delen. We willen graag met u samenwerken om deze situatie zo spoedig mogelijk op te lossen.
Om misbruik van een eventueel beveiligingslek te voorkomen, vragen we u om bij een melding de volgende richtlijnen te volgen:
- Meld beveiligingslekken (of het vermoeden daarvan) zo snel mogelijk bij Dunea via beveiligingslek@dunea.nl.
- Geef voldoende informatie (bijvoorbeeld een uitgebreide beschrijving, inclusief IP-adressen, logs, hoe te reproduceren, screenshots, etc.), zodat we uw melding zo effectief mogelijk kunnen behandelen.
- Uw contactgegevens achter te laten (minimaal een e-mailadres of telefoonnummer) zodat we met u in contact kunnen treden om samen te werken aan een veilig resultaat.
- Maak geen actief misbruik van het beveiligingslek. Van misbruik doen wij aangifte.
- Deel het beveiligingslek niet met anderen.
Nadat een beveiligingslek is gemeld, mag je het volgende van ons verwachten:
- We reageren uiterlijk binnen vijf werkdagen op uw melding met onze beoordeling van de melding en een verwachte datum voor oplossing. Uiteraard houden we u ook daarna regelmatig op de hoogte van de voortgang van het oplossen van het probleem.
- We lossen de kwetsbaarheid zo snel mogelijk op. Proportionaliteit speelt een belangrijke rol: de termijn voor het oplossen van een kwetsbaarheid is afhankelijk van verschillende factoren, waaronder de ernst en de complexiteit van de kwetsbaarheid.
- Voldoet u bij uw melding aan bovenstaande voorwaarden? Dan verbinden we geen juridische consequenties aan de melding.
- We vinden het belangrijk om u de waardering te geven die u toekomt. Indien u het wenst kunnen we overgaan tot een gecoördineerde melding van het beveiligingslek.
- Mocht u een kwetsbaarheid vinden in software die wij gebruiken die door een andere partij gemaakt wordt en die kwetsbaarheid valt onder een bug bounty programma, dan is een eventuele bounty uiteraard voor u.
Wij streven ernaar om alle problemen zo snel mogelijk op te lossen, alle betrokken partijen op de hoogte te houden en wij worden graag betrokken bij een eventuele publicatie over het probleem, nadat het is opgelost.
Hall of Fame
In de Hall of Fame van Dunea vernoemen wij personen die een kwetsbaarheid of probleem in de beveiliging van onze systemen hebben gemeld. Hierbij hebben ze de richtlijnen voor het melden van een (mogelijk) beveiligingslek gevolgd. Dankzij het werk van deze personen hebben wij onze beveiliging verder kunnen verbeteren.
Datum | Melder | Melding |
02-12-2024 | Abhirup Konwar | Broken Access Control |
06-06-2023 | Gaurang Maheta | Webroot File Read |
03-04-2023 | Bob van der Staak | Misbruik van Dunea domeinen |
03-06-2022 | Chirag Ketan Prajapati | XSS-kwetsbaarheid |
17-10-2021 | Gaurang Maheta | (Beperkte) informatie zichtbaar op Dunea website |