Responsible disclosure
Wij doen er alles aan om onze systemen veilig te houden. Vind je nu toch een probleem in onze beveiliging? Meld het dan, want dan kunnen wij het meteen oplossen. Dit melden noemen we vulnerability disclosure (ook wel bekend onder de termen coordinated vulnerability disclosure en responsible disclosure).
Hoe meld je een probleem?
- Stuur het naar security@noordgastransport.nl.
Lukt het mailen niet? Bel ons dan op: +31 85 208 75 01. - Geef ons zoveel mogelijk informatie; dat helpt ons om het probleem te reproduceren en op te lossen; dus een uitgebreide beschrijving met IP-adressen, logs, screenshots, enzovoort.
- Geef ons je contactgegevens, een telefoonnummer of een mailadres. Dan kunnen we je bereiken als we meer willen weten.
Waar moet je op letten?
- Vertel er niemand anders over.
- Vernietig gegevens die je hebt gekregen.
- Ga niet verder dan nodig om het probleem aan te tonen.
- Maak geen misbruik van het beveiligingslek, anders zijn we genoodzaakt aangifte te doen.
Wat kan je melden?
Voorbeelden van kwetsbaarheden die gemeld kunnen worden:
- Remote Code Execution
- Cross Site Scripting (XSS)-kwetsbaarheden
- Cross Site Request Forgery (CSRF)-kwetsbaarheden
- SQL-injectie-kwetsbaarheden
- Kwetsbaarheden met betrekking tot encryptie
- Onbedoelde publicatie van gevoelige data
- Misconfiguratie van de beveiliging
- Ongeautoriseerde toegang tot gegevens
Wat je niet hoeft te melden (buiten scope):
- Social engineering, inclusief phishing, pretexting, baiting en vergelijkbare technieken.
- Resource uitputting en (Distributed) Denial of Service-aanvallen.
- Fysieke aanvallen of ongeautoriseerde toegang in persoon.
- Situaties die niet reproduceerbaar zijn of waarvan de impact niet herhaalbaar is aangetoond.
- Kwetsbaarheden die niet zijn gevalideerd met een tweede methode of tool (bijv. tool A detecteert kwetsbaarheid, tool B niet).
- Cosmetische issues, zoals layoutverschillen tussen browsers (bijv. ziet er niet goed uit in browser A). Meld dit eventueel via webmaster@noordgastransport.nl.
- Gebruikersgedrag, zoals werkplek onbeheerd laten, klikken op links of gebruik van toetsencombinaties.
- Simpele opsommingen van poorten, services of versienummers zonder verdere context of misbruikscenario.
- Public files of directories die geen vertrouwelijke informatie bevatten en publiekelijk beschikbaar horen te zijn.
- Missende HTTP-only of Secure flags op cookies die geen gevoelige informatie bevatten.
- TLS/SSL-configuratieproblemen zonder werkend proof-of-concept of zonder aantoonbare impact (bijv. SSL Forward Secrecy uitgeschakeld).
- HTTP security headers die ontbreken, zoals X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, Content-Security-Policy, of Strict-Transport-Security.
- OPTIONS HTTP-methode beschikbaar zonder bewijs van misbruik.
- URL-redirects naar legitieme en geldige pagina's.
- Clickjacking of content spoofing zonder duidelijke veiligheidsimpact.
- Lokale content spoofing of text injectie op foutpagina’s (zoals 404’s) zonder gevoelige interactie.
- Host Header Injectie zonder bewijs van misbruik.
- Ontbrekende of incorrecte SPF, DKIM, DMARC of CAA DNS-records zonder aantoonbare impact.
- Fingerprinting of versie-informatie van publieke services zonder bekende kwetsbaarheid of misbruikmogelijkheid.
- Verouderde softwareversies zonder publiek bekende exploits of zonder werkende exploitatie in context van ons systeem.
- Issues die alleen optreden bij gebruik van verouderde of ongepatchte browsers of platforms aan de gebruikerszijde.
- Afwezigheid van hardening of security best practices zonder directe kwetsbaarheid (bijv. xmlrpc.php op WordPress, afwezigheid van rate-limiting).
- Issues waarvoor onwaarschijnlijke of onrealistische gebruikersinteractie vereist is.
- Cross-site Request Forgery (CSRF) met minimale of geen beveiligingsimpact.
- Diensten die draaien bij externe derde partijen; meldingen hiervoor dienen via hun eigen responsible disclosure-proces te verlopen.
- Informatie uit datalekken bij externe partijen, zoals e-mailadressen die via publieke breaches zijn gevonden.
- Kwetsbaarheden waarvoor patches korter dan 14 dagen beschikbaar zijn.
- Bekende problemen met protocollen of technologieën die niet in ons beheerdomein vallen (bijv. ARP, HL7).
- Duplicaten van eerder gemelde kwetsbaarheden; in dat geval behandelen wij enkel de eerste melding.
Bekende problemen
Er zijn ook problemen die al bij ons bekend zijn en waaraan we werken of die wij als geaccepteerde risico's erkennen. Deze problemen benoemen wij niet op de website. Ons supportteam is daarvan wel op de hoogte en zal dit dan aangeven. Hierdoor wordt het issue niet in behandeling genomen.
Security.txt
Met de publicatie van RFC 9116 eerder dit jaar is er nu een eenduidige manier beschikbaar voor organisaties om hun 'vulnerability disclosure'-beleid en contactpersonen te publiceren. Daartoe is een tekstformaat bedacht dat zowel voor machines als mensen leesbaar is en op de website gepubliceerd wordt in het bestand security.txt. Ons security.txt-bestand vind je hier: https://www.noordgastransport.nl/.well-known/security.txt.
Akkoord?
Door een melding bij Noordgastransport in te dienen, erken je dat je onze voorwaarden hebt gelezen en ermee akkoord gaat. Je verklaart ook aan ons dat jij de enige maker van de inzending bent en geeft ons hierbij toestemming om jouw inzending te gebruiken, te reproduceren, te kopiëren, te wijzigen en er op een door ons te bepalen wijze over te beschikken. Ook ga je akkoord dat je jouw melding aan ons niet mag gebruiken voor marketing- of financieringsdoeleinden of als referentie in een persoonlijke of professionele presentatie, documentatie of ander materiaal en dat je op geen enkele manier gebruik mag maken (noch op het internet, noch via een ander communicatiemiddel) van onze handelsnaam, bedrijfsnaam, logo of handelsmerk
