Kwetsbaarheden melden
Welke kwetsbaarheden kan ik melden?
Je kunt problemen melden die te maken hebben met onze online dienstverlening. Bijvoorbeeld:
- Cross-site scripting
- SQL-injectie
- Cross-site Request Forgery (CSRF)
For information on Responsible Disclosure in English, see https://www.snsbank.nl/.well-known/security.txt
Goed om te weten: Heb je een valse e-mail, sms of brief (phishing) ontvangen of wil je een andere soort fraude melden? Dit kun je doen:
Hoe meld ik een kwetsbaarheid?
Iedereen kan een kwetsbaarheid melden. Ook als je geen klant bij ons bent. Maak hiervoor gebruik van ons formulier op HackerOne. Bekijk ook eens ons HackerOne-programma en lees hoe je lid kunt worden.
Anoniem melden
- Je kunt een kwetsbaarheid ook anoniem melden (in het Nederlands of Engels) door ons te mailen op responsible-disclosure@devolksbank.nl vanaf een willekeurig e-mailadres. Gebruik daarbij bij voorkeur onze publieke PGP-sleutel.
- Zet in je e-mail genoeg informatie waarmee we de kwetsbaarheid kunnen reproduceren en verifiëren. Bijvoorbeeld een specifieke URL, een stappenplan of een "proof of concept". Houd er rekening mee dat we je bij een anonieme melding geen beloning kunnen geven als je daarvoor in aanmerking komt.
Beloning bij melden via HackerOne
We geven je via HackerOne een passende vergoeding als we kwetsbaarheden verhelpen of onze dienstverlening aanpassen dankzij je melding. Op de HackerOne pagina staan onze beloningsstructuren, SNS beslist of je hiervoor in aanmerking komt en wat de hoogte van de vergoeding is. Melden anderen dezelfde kwetsbaarheid? Dan is de vergoeding voor de eerste melder.
De spelregels
We zijn blij als je scherp bent op kwetsbaarheden en die aan ons meldt, maar we vinden het ook belangrijk dat al onze klanten ongestoord en veilig online kunnen bankieren. Daarom hebben we een paar spelregels.
Veroorzaak geen schade en verstoor onze dienstverlening niet wanneer u een kwetsbaarheid of beveiligingsprobleem onderzoekt
- Hacktools, zoals kwetsbaarheidsscanners of detectiescanners (bijvoorbeeld Acunetix, Appscan, Rapid7 AppSpider, Burp Suite Pro-actieve scanner, DirBuster, Nessus, Netsparker, Nikto, OpenVAS), mag je alleen gebruiken als je vooraf toestemming en instructies van ons hebt gekregen.
- Gebruik tijdens het testen maximaal 1 gelijktijdige verbinding of thread.
- Breng geen of zo beperkt mogelijk wijzigingen aan in onze systemen, alleen wat nodig is om een kwetsbaarheid te bewijzen.
- Gegevens uit het systeem mogen niet worden gewijzigd of verwijderd.
- We bieden geen testaccounts.
Verstoor andere gebruikers niet, houd hun gegevens veilig
- Communiceer alleen met eigen accounts of met accounts waarvoor je expliciete toestemming van de accounthouder hebt gekregen.
- Handel integer: voorkom privacyschendingen en vernietiging van gegevens. Zorg ervoor dat onze dienstverlening niet onderbreekt of aantast.
- Geef nooit klant- of bedrijfsgegevens door aan anderen.
- Wees terughoudend bij het kopiëren van gegevens.
- Voer geen enkele actie uit die een andere gebruiker opmerkt (plaats bijvoorbeeld geen test op een openbaar fora, in de commentaren op een openbare pagina, via een DM naar een andere gebruiker sturen, enz.).
- Als je het SNS Forum wilt testen, vraag dan eerst toegang tot de speciale test-Forum-groep via responsible-disclosure@devolksbank.nl.
- Als je per ongeluk een publicatie, verstoring of enige andere schade hebt veroorzaakt, neem dan onmiddellijk contact met ons op via e-mail: responsible-disclosure@devolksbank.nl
Sociale, fysieke en bruteforce testen niet in scope
- Alle vormen van Denial of Service (DoS), bruteforcing en enumeratie
- Social engineering (bijv. phishing, vishing, smishing)
- Start geen aanvallen op onze fysieke beveiliging
Maak geen misbruik
- Maak minimaal gebruik van een zwakke plek. Doe alleen dat wat er moet gebeuren om de kwetsbaarheid vast te stellen.
- Deel de kwetsbaarheid niet met andere partijen dan de Volksbank totdat deze is opgelost.
- Praat met onze experts en geef ons de tijd om het probleem op te lossen.
- Plaats geen achterdeur in een informatiesysteem om de kwetsbaarheid te bewijzen.
- We bieden geen testaccounts.
Wat doet SNS met je melding?
Onze beveiligingsexperts onderzoeken je melding. Je krijgt binnen 2 werkdagen een eerste reactie.
Jouw privacy
We geven je gegevens niet aan anderen en gebruiken ze niet voor andere doeleinden. Tenzij we daartoe wettelijk worden verplich door justitie.
Veilig internetbankieren
Internetbankieren en betalen moeten veilig zijn. Lees wat wij doen en wat je zelf kunt doen.
Fraude melden
Zie je onbekende overboekingen of denk je dat je benaderd bent door criminelen? Meld het dan bij ons.