Voor de beste ervaring schakelt u JavaScript in en gebruikt u een moderne browser!
Je gebruikt een niet-ondersteunde browser. Deze site kan er anders uitzien dan je verwacht.

Verantwoorde openbaarmaking

Wat te doen als je een kwetsbaarheid ontdekt

Bij de Universiteit van Amsterdam hechten we veel belang aan de veiligheid van onze systemen. Ondanks onze zorgvuldigheid kunnen er kwetsbaarheden voorkomen. Heb jij een kwetsbaarheid ontdekt? Graag verzoeken we je ons dan zo spoedig mogelijk in te lichten volgens onze richtlijnen van Verantwoorde Openbaarmaking, zodat we zo snel mogelijk maatregelen kunnen treffen.

Heb je een kwetsbaarheid ontdekt?

Stuur dan de volgende informatie per e-mail naar cert@uva.nl:

  • Je contactgegevens (voor het geval wij vragen hebben), dus naam, organisatie, mailadres en telefoonnummer.
  • Of je publiekelijk bekend wilt worden gemaakt.
  • Beschrijving van de kwetsbaarheid.
  • Welke systeemconfiguraties zijn volgens je kwetsbaar?
  • Hoe heb je de kwetsbaarheid gevonden? Vermeld eventuele specifieke tools of technieken.
  • Denk je dat de kwetsbaarheid wordt misbruikt?
  • Voeg eventuele gerelateerde bestanden en CERT TRacking ID's bij de mail.

Meer informatie vind je ook via de pagina van het CERT >>

Hoe kunnen we samen zorgen voor veilige systemen?

Wij vragen je:

  • kwetsbaarheden niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig om de kwetsbaarheid aan te tonen en extra terughoudendheid te betrachten bij persoonsgegevens: geen gegevens van derden inkijken, verwijderen of aanpassen;
  • kwetsbaarheden niet met anderen te delen totdat ze zijn opgelost en alle vertrouwelijke gegevens die via kwetsbaarheden zijn verkregen zo snel mogelijk te wissen;
  • geen gebruik te maken van aanvallen op fysieke beveiliging of applicaties van derden, van social engineering, distributed denial-of-service of spam;
  • voldoende informatie te geven om de kwetsbaarheid te reproduceren zodat wij het snel kunnen oplossen. Meestal is een IP-adres of URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • je bevindingen zo snel mogelijk te mailen naar cert@uva.nl; versleutel je bevindingen bij voorkeur met onze PGP-key.

Wij beloven:

  • te reageren binnen 3 dagen op je melding met onze beoordeling en een verwachte datum voor een oplossing;
  • je melding vertrouwelijk te behandelen en we zullen je persoonlijke gegevens niet zonder jouw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen;
  • indien je dit wenst, je op de hoogte te houden van de voortgang van het oplossen van het probleem;
  • in berichtgeving over het gemelde probleem, indien je dit wenst, jouw naam te vermelden als de ontdekker van de kwetsbaarheid;
  • dat anoniem of onder een pseudoniem melden mogelijk is. Het is voor jou goed om te weten dat dit wel betekent dat wij dan geen contact kunnen opnemen over bijvoorbeeld de vervolgstappen, voortgang van het dichten van het lek, publicatie of een eventuele beloning voor de melding;
  • als dank voor jouw hulp een beloning aan te bieden voor elke eerste melding van een voor ons nog onbekende kwetsbaarheid. De grootte van de beloning wordt bepaald door de ernst van de kwetsbaarheid en de kwaliteit van de melding en varieert van een eervolle vermelding tot een gift.
  • te streven naar het zo snel mogelijk oplossen van de gerapporteerde problemen. Wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.