Coordinated Vulnerability Disclosure

‘s Heeren Loo hecht veel belang aan de beveiliging van de digitale middelen die we gebruiken. We hebben hiervoor een officieel NEN7510 certificaat voor informatiebeveiliging in de zorg. Toch kan het voorkomen dat er sprake is van een kwetsbaarheid in onze systemen. Als je zo’n kwetsbaarheid ontdekt, kun je dit veilig aan ons melden. Dan kan ‘s Heeren Loo beschermende maatregelen treffen. Deze manier van samenwerken heet Coordinated Vulnerability Disclosure.

For English, see below.

  • Wanneer je via ons ‘Coordinated Vulnerability Disclosure’ beleid kwetsbaarheden aan ons meldt, dan hebben wij geen reden om juridische consequenties te verbinden aan je melding. 

    Wij vragen je te houden aan de volgende regels: 

    • Je meldt je bevindingen bij Stichting Z-CERT door een e-mail te sturen naar cvd@z-cert.nl. Je kunt daarbij gebruik maken van de PGP-sleutel. Stichting Z-CERT is de organisatie die voor ‘s Heeren Loo Coordinated Vulnerability Disclosure-meldingen afhandelt. Zij werken samen met jou als melder en met ‘s Heeren Loo om te zorgen dat je melding wordt opgepakt. 
    • In je melding geef je voldoende informatie zodat het probleem te reproduceren is. Op die manier kunnen wij het zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende maar bij complexere kwetsbaarheden is soms meer informatie gewenst/noodzakelijk. 
    • Je misbruikt de geconstateerde kwetsbaarheid niet door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of door gegevens van derden in te zien, te verwijderen of aan te passen. 
    • Als je vermoedt dat je via een kwetsbaarheid medische of andere persoonsgegevens kan inzien, vragen wij je dit niet zelf te proberen. Dit controleren we graag vanuit ’s Heeren Loo. 
    • Je deelt je bevindingen niet met anderen voordat het is opgelost. Daarnaast vragen we je om alle vertrouwelijke gegevens die je hebt verkregen naar ons te sturen en na bevestiging van goede ontvangst direct te wissen. 
    • Je doet geen aanval(len) op onze fysieke beveiliging en maakt geen gebruik van social engineering, distributed denial of service, spam, brute-force aanvallen en/of applicaties van derden. 
    • ‘s Heeren Loo en Z-CERT behandelen jouw melding vertrouwelijk. We delen jouw persoonlijke gegevens niet met derden zonder jouw toestemming, tenzij dit wettelijk verplicht is. 
    • Je krijgt een ontvangstbevestiging van Z-CERT en binnen 5 werkdagen ontvang je een reactie op je melding met een beoordeling van de melding en een verwachte datum voor een oplossing. 
    • Als melder van het probleem houdt Z-CERT jou op de hoogte van de voortgang van het oplossen van het probleem. 
    • In berichtgeving over het gemelde probleem zal ‘s Heeren Loo, als je dit wenst, je naam vermelden als de ontdekker. 
    • We streven ernaar om alle problemen zo snel mogelijk op te lossen. Samen overleggen we daarna over de meerwaarde van een eventuele publicatie van het opgeloste probleem. 

    Met dank aan Floor Terra voor zijn voorbeeldtekst op responsibledisclosure.nl.

  • 's Heeren Loo neemt geen triviale kwetsbaarheden of securityissues die niet misbruikt kunnen worden, in behandeling. Hieronder staan voorbeelden van bekende kwetsbaarheden en securityissues die buiten bovenstaande regeling vallen. Dit houdt niet dat ze niet opgelost zouden moeten worden, echter bij ons CVD-proces gaat het om melden van zaken waar direct misbruik van gemaakt kan worden. Bijvoorbeeld een kwetsbaarheid waar een werkende exploit voor bestaat of een misconfiguratie waardoor een bestaande securitycontrol te omzeilen is. Deze lijst is afgeleid van de lijst van die het CERT van Surf hanteert.

    • HTTP 404 codes/pagina’s of andere HTTP non-200 codes/pagina’s en content spoofing/text injecting op deze pagina’s
    • Fingerprinting/versievermelding op publieke services
    • Publieke bestanden of directories met ongevoelige informatie (bijvoorbeeld robots.txt)
    • Clickjacking en problemen die alleen te exploiten zijn via clickjacking
    • Geen secure/HTTP-only flags op ongevoelige cookies
    • OPTIONS HTTP method ingeschakeld
    • Rate limiting kwetsbaarheden zonder duidelijke impact
    • Alles gerelateerd tot HTTP security headers, bijvoorbeeld:
      • Strict-Transport-Security
      • X-Frame-Options
      • X-XSS-Protection
      • X-Content-Type-Options
      • Content-Security-Policy
    • Issues met SSL-configuratie
      • SSL Forward secrecy uitgeschakeld
      • Ontbrekende TXT record voor DMARC of CAA record
      • Host header injection
    • Rapporteren van verouderde versies van enige software zonder een proof of concept van een werkende exploit
  • We willen graag de volgende mensen bedanken die ons op een verantwoorde wijze een onthulling hebben gedaan over de kwetsbaarheden op onze website. 

English version

At ‘s Heeren Loo we work hard to maintain and improve the security of our devices, systems and services. No matter how much effort we put into system security, there might be vulnerabilities present. If you discover a vulnerability you can report it safely via our Coordinated Vulnerability Disclosure, so ‘s Heeren Loo can take safety measurements.

  • If you comply with our Coordinated Vulnerability Disclosure policy, we have no reason to take legal action against you regarding the reported vulnerability. 

    We ask you to: 

    • Send your findings to Z-CERT by sending an email to cvd@z-cert.nl encrypted with our PGP-key. Z-CERT is an organization who handles all cyber security issues on behalf of ‘s Heeren Loo. Z-CERT will work with you and ‘s Heeren Loo to make sure that your report is handled with care. 
    • Provide adequate information to allow Z-CERT to reproduce the vulnerability which helps to resolve the problem as quickly as possible. An IP address or URL of the affected system with a description of the vulnerability will usually be sufficient, although more information might be necessary for more complex vulnerabilities. 
    • Do not exploit vulnerabilities, e.g. by downloading more data than is needed to demonstrate the vulnerability, looking into third-party data, deleting or modifying data. 
    • If you suspect to have access to medical data we ask you to let us verify this. 
    • Do not share information on vulnerabilities until they have been resolved and erase any data obtained through vulnerabilities as soon as possible. 
    • Do not attack physical security, use social engineering, distributed denial of service, spam, brute force attacks or third-party applications. 
    • ‘s Heeren Loo and Z-CERT will treat your report confidentially and will not share your personal data unless required by law.
    • Z-CERT will send you an acknowledgement of receipt and will respond to your report with an evaluation and an expected resolution date within 5 working days.
    • ‘s Heeren Loo and Z-CERT will keep you informed of the progress in resolving the problem.
    • In communication about the reported problem we will mention your name as the discoverer of the problem (unless you desire otherwise). 

    We strive to resolve any vulnerability as soon as possible. Once the problem has been resolved we will decide in consultation whether and how details will be published.

    With thanks to Floor Terra for his sample text in Dutch on responsibledisclosure.nl

  • 's Heeren Loo will not process reports of vulnerabilities or security issues that cannot be abused or are trivial. Below are a couple of examples of known vulnerabilities and issues that are outside the scope. This does not mean they are not important or should not be resolved, however our CVD process is meant for issues that can be actively abused. For example a vulnerabilities that can be abused by a public available exploit or a misconfiguration that can be used to bypass an existing security control. This list of exclusions is derived from a list used by the CERT of Surf (https://www.surf.nl/responsible-disclosure-surf).

    • HTTP 404 codes/pages or other HTTP non-200 codes/pages and content spoofing/text injections in these pages
    • Fingerprinting/version disclosures op public services
    • Public files or directories that do not contain confidential information
    • Clickjacking problems that can only be exploited by clickjacking
    • No secure/HTTP-only flags on unconfidentional cookies
    • OPTIONS HTTP method enabled
    • Rate-limiting without clear impact
    • All issues related to HTTP security headers, for example:
      • Strict-Transport-Security
      • X-Frame-Options
      • X-XSS-Protection
      • X-Content-Type-Options
      • Content-Security-Policy
    • SSL-configuration issues
      • SSL Forward secrecy disabled
      • No TXT record for DMARC or a missing CAA-record
      • Host header injection
    • Reports of outdated versions of any software without a proof of concept of a working exploit
  • We would like to thank the following people who have made a responsible disclosure to us by pointing us towards vulnerabilities in our website.