Bij de Erasmus Universiteit Rotterdam werken we hard aan het in stand houden en verbeteren van de veiligheid van onze systemen; desondanks kunnen er in onze systemen kwetsbaarheden voorkomen. Met deze Responsible Disclosure vragen wij een ieder die een kwetsbaarheid ontdekt, ons hierover te informeren voordat hij/zij dit aan de buitenwereld kenbaar maakt. Zo zijn wij in staat tijdig maatregelen te treffen.
Let op: dit beleid voor Responsible Disclosure is geen uitnodiging om ons bedrijfsnetwerk uitgebreid actief te scannen om kwetsbaarheden te ontdekken. Wij monitoren ons netwerk zelf continue. Hierdoor is de kans groot dat een scan wordt opgepikt, dat er door onze CERT onderzoek wordt gedaan en er mogelijk onnodige kosten worden gemaakt.
Hoe kunnen we samen zorgen voor veilige systemen?
Wij vragen u:
- uw bevindingen zo snel mogelijk te sturen naar het e-mail adres cert@eur.nl; versleutel uw bevindingen bij voorkeur met onze EUR PGP-key of het webformulier om te voorkomen dat de informatie in verkeerde handen valt. Zie hiervoor het web-formulier.
- kwetsbaarheden niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig om de kwetsbaarheid aan te tonen of gegevens van derden in te kijken, verwijderen of aan te passen en extra terughoudendheid te betrachten bij persoonsgegevens;
- kwetsbaarheden niet met anderen te delen totdat ze zijn opgelost en alle vertrouwelijke gegevens die via kwetsbaarheden verkregen zo snel mogelijk te wissen;
- geen gebruik te maken van aanvallen op fysieke beveiliging of applicaties van derden, van social engineering, brute-force password attacks, distributed denial-of-service of spam;
- voldoende informatie te geven om de kwetsbaarheid te reproduceren zodat wij het snel kunnen oplossen.
- Meestal is een IP-adres of URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
Wat wij beloven:
- als u zich aan bovenstaande verzoeken heeft gehouden zullen wij geen juridische stappen tegen u ondernemen betreffende de melding. Het Openbaar Ministerie behoudt altijd het recht om zelf te beslissen of u strafrechtelijk vervolgd wordt.
- wij reageren binnen drie dagen op uw melding met onze beoordeling en een verwachte datum voor een oplossing;
- wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen;
- wij houden u op de hoogte van de voortgang van het oplossen van het probleem;
- in berichtgeving over het gemelde probleem zullen wij, indien u dit wenst, uw naam vermelden als de ontdekker van de kwetsbaarheid;
- anoniem of onder een pseudoniem melden is mogelijk. Het is voor u goed om te weten dat dit wel betekent dat wij dan geen contact kunnen opnemen over bijvoorbeeld de vervolgstappen, voortgang van het dichten van het lek, publicatie of de eventuele beloning voor de melding;
- als dank voor uw hulp bieden wij een beloning aan voor elke eerste melding van een ons nog onbekende kwetsbaarheid. De grootte van de beloning wordt bepaald door de ernst van de kwetsbaarheid en de kwaliteit van de melding en varieert van een eervolle vermelding tot een gift.
- wij streven er naar om alle kwetsbaarheden zo snel mogelijk op te lossen.
Wat wordt er niet gezien als kwetsbaarheid:
- Opzettelijke directory inhoud listing(s) voor research of publicatie doeleinden
- SPF, DKIM, DMARC issues
- Ontbrekende secure of http only flags
- Melding van verouderde software of upgrade mogelijkheid zonder daarbij behorende exploit en proof of concept
- Ontbrekende DNSSEC informatie
- xmlrpc.php accessibility
- Clickjacking
De Erasmus Universiteit Rotterdam biedt ook internettoegang, subdomeinen en hosting facilities voor studenten, verenigingen en incubator start up companies. Hoewel deze sites zich in het universiteitsnetwerk bevinden, staan zij niet onder (volledige) controle van de universiteit. Responsible disclosure meldingen over deze sites worden geaccepteerd en de rapportages worden doorgestuurd naar de verantwoordelijke personen, maar daarna gesloten door de universiteit. Deze rapportages leveren geen plek in de Hall of Fame op, en er wordt geen voortgangsrapportage geleverd.