Responsible disclosure

Welke kwetsbaarheden kan ik melden?

Je kunt problemen melden die te maken hebben met onze online dienstverlening of OV-chipkaart. Bijvoorbeeld:

• Cross site scripting
• SQL-injectie
• Encryptie

Goed om te weten: het meldpunt is niet bedoeld voor klachten over de dienstverlening van Translink. Je kunt hiervoor contact opnemen met de klantenservice. Het is ook niet bedoeld voor meldingen over problemen met OV-chipkaartapparatuur op (trein/metro) stations of in (bus/tram) voertuigen. Hiervoor verwijzen wij je naar de betreffende vervoerder.  

Hoe doe ik een melding?

Mail ons via responsibledisclosure@translink.nl en maak daarbij gebruik van onze publieke PGP Key. Zet in een mail:

• Een uitgebreide beschrijving van het gevonden probleem.
• De benodigde informatie waarmee we de gevonden kwetsbaarheid zelf kunnen reproduceren en verifiëren.

PGP Key

-----BEGIN PGP PUBLIC KEY BLOCK-----

Version: GnuPG v1.4.9 (MingW32)

mQENBFPg3akBCADP38pon/G/YgRl31F7wo+Q73ODuxeT5Im14HQN09clBl/TJNYv

C2HDyQbWuw2lzvqv4+t6Hh6nQAOaSa4jIDUx/S7ZhlLSxqb/Kv7T30uU2DSSe697

5t5c9TupqFIVSMfDKrDkUU0X2eFUBDl/HIujx5p9IDW1sfkqaH6HnA4H/M3Rv2r/

W7xF7m28Sz24M/XFvhUWU9LUcjtBulpF/oLO7IWR2mfv2zFsHc8sxBD1lV/7ATcb

yxQsCDYrLgVKC3NGNgeMllqxynaMnsYeXVg5o2TQH5hYkFu22L7Bewr+y6rsF5n/

KePA2BzWNMT3c3/ksLXpo+THm6Df0B1G0TqzABEBAAG0QFJlc3BvbnNpYmxlX0Rp

c2Nsb3N1cmVfVExTIDxyZXNwb25zaWJsZS5kaXNjbG9zdXJlQHRyYW5zbGluay5u

bD6JATYEEwECACAFAlPg3akCGw8GCwkIBwMCBBUCCAMEFgIDAQIeAQIXgAAKCRB6

ldXW1GS84oxyCACfNiFGFDh3+Vzq+JiHLs8RmjCn5xbD2Zb8TqvfDotyH6+Vvp7q

iAV5DucvFM99nQfcmyZoUucH2asCdiJUxLPx1WG5w0fDr2IOdYuzyqEaBqOdBT56

S3GP9oIA5238l7fg48pbyjlCEfHjq3FZUtZgMjB5V19ElzKeuWHXdoFdG6hvttMt

5IDmwL617e78TCc5G7ePdr8XRbbM/q/bB+RnMAdQ08jQKV5+lfgKcqsouQVVm8Nk

qW0ZqEDxFvDEokPfzmQH9V5uZ3z4LDF8lTqUyyVL88w3gwMv2QyL2xxNsANC/Q32

oFvPToPQXTFRIgh4U8st2DYdj6l0bNNzGLQn

=0ukB

-----END PGP PUBLIC KEY BLOCK-----

Kan ik anoniem een melding doen?

Je kunt natuurlijk ook een anonieme melding doen. Houd er rekening mee dat het dan niet mogelijk is om na de melding contact met je op te nemen. Of een eventuele beloning uit te keren. Om anoniem te blijven, mail je vanaf een willekeurig e-mailadres zonder verdere contactgegevens te noemen. 

Wat doet Translink met de melding?

Je melding wordt onderzocht door onze beveiligingsexperts. Als dat nodig is nemen we contact op met je op om bevindingen en oplossingen nader door te nemen. Binnen twee werkdagen ontvang je in ieder geval informatie over:

• onze reactie op jouw bevinding;
• de oplossing die we willen implementeren;
• en wanneer we dit zullen doen.

De spelregels

Bij het signaleren van een kwetsbaarheid kan het zijn dat je in strijd met de wet handelt. Houd je daarom zorgvuldig aan onderstaande spelregels. In het algemeen geldt: handel je integer, neem je de spelregels in acht en betrek je ons direct en rechtstreeks bij je bevindingen, dan zijn we je dankbaar voor het meehelpen om onze dienstverlening zo veilig en betrouwbaar mogelijk te maken. Daar kan in bepaalde gevallen ook een beloning tegenover staan.

• Iedereen die een mogelijke kwetsbaarheid in onze systemen ontdekt, kan een melding doen. Dus ook als je geen gebruik maakt van een OV-chipkaart;
• We kunnen alleen meldingen in het Nederlands of Engels oppakken;
• Maak geen gebruik van aanvallen op fysieke beveiliging, van social engineering of distributed denial of service, spam of applicaties van derden;
• Plaats geen backdoor in een informatiesysteem om daarmee de kwetsbaarheid aan te tonen;
• Maak minimaal gebruik van een kwetsbaarheid. Doe alleen wat noodzakelijk is om de kwetsbaarheid vast te stellen;
• Wijzig of verwijder geen gegevens van het systeem;
• Maak geen kopieën van eventuele databases of bestanden. Een alternatief hiervoor is het maken van een ‘directory listing’ van een systeem;
• Breng geen systeemveranderingen aan;
• Probeer niet herhaaldelijk wachtwoorden (‘brute force’) om toegang tot systemen te krijgen.

Het onderzoeken naar of van een kwetsbaarheid mag nooit leiden tot:

• Financiële, juridische, operationele of imago schade van Translink;
• Verstoring van onze dienstverlening;
• Het openbaar maken van vertrouwelijke (klant-) gegevens.

Privacy

Als je een melding hebt gedaan, vragen we je om je contactgegevens (naam, e-mail, publieke PGP-sleutel en eventueel telefoonnummer). We geven je gegevens niet aan anderen en gebruiken ze niet voor andere doeleinden. Uitzondering daarop is een vordering door justitie. In dat geval zijn we wettelijk verplicht mee te werken.

Mag ik de kwetsbaarheid die ik vind en mijn onderzoek openbaar maken? 

Wij gaan ervan uit dat je drijfveer voor het opsporen van kwetsbaarheden is dat je die wilt helpen oplossen. Melding aan en overleg met onze beveiligingsexperts is de meest directe en snelste weg daartoe. Openbaarmaking van de gevonden kwetsbaarheid voordat die is opgelost kan immers leiden tot misbruik, met allerlei schadelijke gevolgen (privacy, financieel, serviceniveau). Natuurlijk betekent dit ook dat wij de verplichting hebben om snel en adequaat op je melding te reageren.

Beloning

We zijn blij met iedereen die ons helpt om onze dienstverlening te optimaliseren. Als dank daarvoor ontvang je voor gemelde kwetsbaarheden, die daadwerkelijk door ons zijn verholpen of leiden tot verandering van de dienstverlening, een passende beloning. Translink beslist of je hiervoor in aanmerking komt en wat de grootte van de beloning is. Zijn er meerdere melders voor dezelfde kwetsbaarheid? Dan is de beloning voor de eerste melder.

Als erkentelijkheid voor je inspanningen nemen we je naam bovendien graag - maar uiteraard alleen met jouw toestemming - op in onze Hall of Fame.

Ons beleid rond het melden van kwetsbaarheden is gebaseerd op de leidraad van het Nationaal Cyber Security Centrum (NCSC).