Kwetsbaarheid melden (CVD)
Wanneer je een technische kwetsbaarheid vindt in een systeem of product van de Rijksoverheid, kunt u dit melden bij het Nationaal Cyber Security Centrum (NCSC). Dit noem je een “Coordinated Vulnerability Disclosure” of CVD-melding.
Ook kun je contact opnemen met het NCSC als je kwetsbaarheden vindt die effect hebben op meerderen systemen of leveranciers. In dergelijke gevallen kan het NCSC helpen bij het coördineren van een oplossing voor de betreffende kwetsbaarheden.
Je kunt de kwetsbaarheid melden via het CVD-formulier. Wij zullen vervolgens contact opnemen om de coördinatie af te stemmen..
Als je een kwetsbaarheid vindt in een systeem of product dat niet van de Rijksoverheid is, moet je eerst een melding maken bij de eigenaar van het product of systeem.. Het is alleen nodig het NCSC hierbij te betrekken als je geen (adequate) reactie krijgt van de eigenaar. In dit geval zullen wij (indien je bewijs aangeleverd hebt) als een intermediair fungeren en de kwetsbaarheid nogmaals bij de eigenaar onder de aandacht brengen.
Voor vragen en opmerkingen die niet gerelateerd zijn aan cybersecurity, kun je contact opnemen met de Rijksoverheid via de contactpagina op rijksoverheid.nl.
Voor welke kwetsbaarheden kunt u een CVD-melding bij ons maken?
Je kunt bij ons kwetsbaarheden melden die een risico vormen voor de beveiliging van een systeem. Voorbeelden hiervan zijn kwetsbaarheden die het mogelijk maken om een login-formulier te omzeilen, of op een onbedoelde manier toegang te krijgen tot een database met persoonsgegevens.
Niet elke kwetsbaarheid wordt gezien als een serieus beveiligingsprobleem en zal daarom ook niet opgepakt worden als een CVD-melding. In het algemeen gelden de volgende regels als richtlijn voor kwetsbaarheden die niet opgepakt worden:
- Kwetsbaarheden die geen invloed hebben op de beschikbaarheid, integriteit of vertrouwelijkheid van de gegevens.
- De aanwezigheid van WordPress-functionaliteiten zoals wp-cron.php, wp-json-gebruikerseindpunt en xmlrpc.php (wanneer het misbruik hiervan beperkt blijft tot een zogenaamde 'pingback denial-of-service'-aanval).
- De mogelijkheid om cross-site scripting te gebruiken op een statische website of een website die geen gevoelige (gebruikers)gegevens verwerkt.
- De beschikbaarheid van technische informatie zoals versie-informatie, IP-adressen en gebruikersnamen. Uitzonderingen worden gemaakt wanneer deze informatie direct en aantoonbaar kan worden misbruikt, zoals softwareversies met bekende kwetsbaarheden, gebruikers met standaardreferenties of IP-adressen die toegang tot het systeem verschaffen.
- Het ontbreken van HTTP-beveiligingsheaders, tenzij het ontbreken van een beveiligingsheader aantoonbaar resulteert in een beveiligingsprobleem.
- Beveiligingsproblemen waarvoor geen realistisch exploitatiescenario bestaat, die alleen niet-gevoelige of laag-risico-informatie vrijgeven, die afhankelijk zijn van phishing of uitgebreide gebruikersinteractie, worden als weinig impact beschouwd en komen niet in aanmerking voor erkenning of beloningen.
Mocht je twijfelen of de door jou geconstateerde kwetsbaarheid een van de bovengenoemde uitzonderingen vormt, dan kun je de kwetsbaarheid uiteraard alsnog bij ons melden. Wij zullen vervolgens vaststellen of de kwetsbaarheid een beveiligingsprobleem vormt en passende vervolgmaatregelen nemen.
Gelieve er rekening mee te houden dat beslissingen over een gemelde kwetsbaarheid definitief zijn. Herhaalde communicatie, of het nu gaat om verzoeken tot updates of anderszins, verstoort het CVD-proces
Hoe dien je een CVD-melding in?
Volg de volgende stappen:
- Vul het CVD-formulier in met je bevindingen. Eventueel kun je gebruikmaken van onze PGP-key om de melding aanvullend te versleutelen.
- Beschrijf in de melding zo duidelijk mogelijk hoe het probleem kan worden gereproduceerd; dit draagt bij aan een snelle oplossing. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer informatie nodig zijn. Zo nodig nemen wij contact met je op.
- Laat in elk geval een e-mailadres achter zodat wij bij vragen contact met u kunnen opnemen. Communicatie via e-mail heeft onze voorkeur.
Zorg ervoor dat:
- je de melding zo snel mogelijk maakt na ontdekking van de kwetsbaarheid;
- je de informatie over het beveiligingsprobleem niet met anderen deelt totdat je van ons hoort of het probleem is opgelost;
- en dat je verantwoordelijk omgaat met de kennis over het beveiligingsprobleem, bijvoorbeeld door geen handelingen te verrichten die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen.
Wat moet je niet doen?
Vermijd altijd de volgende handelingen tijdens het onderzoeken van een kwetsbaarheid:
- Plaatsen van malware.
- Kopiëren, wijzigen of verwijderen van gegevens in een systeem.
- Aanbrengen van veranderingen in het systeem.
- Herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
- Gebruikmaken van 'brute force' om toegang tot een systeem te verkrijgen.
- Gebruikmaken van denial-of-service of 'social engineering'.
- Het delen van (YouTube) video's met het Nationaal Cyber Security Centrum. Deze worden niet geaccepteerd.
Uitgangspunten van ons CVD-beleid
- Wanneer je een melding maakt volgens de procedure , hebben wij geen reden om juridische consequenties te verbinden aan uw melding. Wij behandelen de melding vertrouwelijk en delen persoonlijke gegevens niet zonder toestemming met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
- Alleen met jouw toestemming vermelden wij je naam als de ontdekker van de gemelde kwetsbaarheid.
- Wij sturen binnen één werkdag een bevestiging van ontvangst. Binnen drie werkdagen reageren wij op de melding met de beoordeling van de melding. Wij houden je op de hoogte van de voortgang van het oplossen van het probleem.
- Indien nodig kunnen wij advies geven óf en op welke manier, details van het beveiligingsprobleem en de oplossing ervan, gepubliceert kunnen worden.
- Het NCSC streeft ernaar gemelde beveiligingsprobleem in een systeem uiterlijk binnen 60 dagen op te laten lossen. In overleg bepalen we, na oplossen van het probleem, óf en op welke wijze hierover wordt gepubliceerd.
- Het NCSC biedt een beloning als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren van een T-shirt tot cadeaubonnen. Het moet wel gaan om een voor het NCSC nog onbekend en serieus beveiligingsprobleem.
- Voor kwetsbaarheden die meerderen systemen of leveranciers treffen en waarbij het NCSC de coördinatie doet, kan het NCSC besluiten een CVE-nummer toe te kennen. De kwetsbaarheid moet daarvoor voldoen aan de eisen van het CVE Program en passen binnen de CNA-rol (CVE Numbering Authority) van het NCSC.
- Wij verzoeken vriendelijk ons besluitvormingsproces te respecteren. Overmatig e-mailen of druk uitoefenen met betrekking tot afgewezen meldingen kan ertoe leiden dat u niet in aanmerking komt voor beloningen of opname in de Hall of Fame.
Wall of Fame
Sinds 2023 publiceert het NCSC jaarlijks een Wall of Fame op haar website om de onderzoekers met de beste CVD-meldingen van het afgelopen jaar in het zonnetje te zetten en te bedanken. Om in aanmerking te komen voor opname in de Hall of Fame, worden de volgende kwaliteitseisen in acht genomen:
• De CVD-melding heeft een grote impact op de digitale veiligheid van Nederland gehad.
• De CVD-melding moeten helder en goed gedocumenteerd zijn en indruk geven van een grondig begrip van het probleem.
• Wanneer een melder meerdere CVD-meldingen indient, moet het merendeel van de rapporten van hoge kwaliteit en duidelijkheid zijn.
Om de CVD-meldingen aan de juiste onderzoeker te koppelen, vragen we onderzoekers om hetzelfde e-mailadres als contactmiddel te gebruiken.