Meld kwetsbaarheden

Heb je een zwakke plek ontdekt in onze systemen en/of applicaties? Dan horen we dat graag. Met jouw hulp kunnen we onze diensten verbeteren.

For information on Responsible Disclosure in English, see https://corporate.asnbank.nl/.well-known/security.txt

Deze kwetsbaarheden kun je melden

Je kunt problemen melden die te maken hebben met onze online dienstverlening. Bijvoorbeeld:

Cross-Site Scripting
SQL-injectie
Cross-Site Request Forgery (CSRF)

Goed om te weten

Heb je een valse e-mail, SMS, of brief ontvangen of wil je een andere soort fraude melden?

Meld hier fraude en incidenten

Zo meld je een kwetsbaarheid

Iedereen kan een kwetsbaarheid melden. Ook als je geen klant bent bij ons. Hiervoor gebruik je ons formulier op HackerOne. Bekijk ook ons HackerOne-programma en lees hoe je lid kunt worden.

Liever anoniem melden?

Je kunt een kwetsbaarheid (eventueel anoniem) aan ons melden, in het Nederlands of Engels. Mail dan naar responsible-disclosure@asnbank.nl vanaf een willekeurig e-mailadres. Gebruik daarbij bij voorkeur onze Publieke PGP Key y y.
Zet in je e-mail voldoende informatie waarmee we de kwetsbaarheid kunnen reproduceren en verifiëren. Bijvoorbeeld een specifieke URL, een stappenplan of een ‘proof of concept’.

Beloning bij melden via HackerOne

We geven je via HackerOne een passende vergoeding als we dankzij jouw melding kwetsbaarheden verhelpen of onze dienstverlening aanpassen. Wij beslissen of je in aanmerking komt voor een beloning.

Op de HackerOne-pagina lees je hoe we het bedrag bepalen van een beloning. Melden anderen dezelfde kwetsbaarheid? Dan krijgt de 1e melder de vergoeding.

Goed om te weten: Meld je anoniem een kwetsbaarheid of alleen via e-mail? Dan kunnen we je geen beloning geven.

Checken van een kwetsbaarheid: de spelregels

Veroorzaak geen schade en verstoor onze dienstverlening niet

Open

Onderzoek je een kwetsbaarheid of beveiligingsprobleem? Zorg er dan voor dat er niks wordt beschadigd aan onze systemen en beveiliging. Dat doe je zo:

Gebruik alleen hacktools of detectiescanners met onze toestemming en uitleg. Bijvoorbeeld: Acunetix, Appscan, Rapid7 AppSpider, Burp Suite Pro-actieve scanner, DirBuster, Nessus, Netsparker, Nikto, OpenVAS.
Gebruik tijdens het testen maximaal 1 gelijktijdige verbinding of thread.
Breng geen of zo weinig mogelijk wijzigingen aan in onze systemen. Doe alleen wat nodig is om een kwetsbaarheid te bewijzen.
Gegevens uit het systeem mag je niet veranderen of verwijderen.

Goed om te weten: We bieden geen testaccounts.

Werk veilig en ga respectvol om met accounts en gegevens

Open

Communiceer alleen met eigen accounts of met accounts waarvoor je toestemming hebt gekregen van de accounthouder.
Voorkom privacyschendingen en beschadiging van gegevens. Zorg ervoor dat je onze dienstverlening niet verstoort of beschadigt.
Deel nooit klant- of bedrijfsgegevens met anderen.
Wees terughoudend met het kopiëren van gegevens.
Voer geen acties uit die zichtbaar zijn voor andere gebruikers. Plaats bijvoorbeeld geen testberichten op openbare forum, in reacties op openbare pagina’s of via directe berichten naar andere gebruikers.
Wil je het ASN Bank Forum testen? Vraag dan eerst toegang tot de speciale testforumgroep via responsible-disclosure@devolksBank.nl.
Heb je per ongeluk iets gepubliceerd of schade veroorzaakt? Neem dan meteen contact met ons op via responsible-disclosure@asnbank.nl.

Gebruik geen sociale, fysieke en bruteforce-testen

Open

Maak geen misbruik van kwetsbaarheden

Open

Wat doet ASN Bank met je melding?

Onze beveiligingsexperts onderzoeken je melding. Je krijgt binnen 2 werkdagen een 1^e reactie van ons.

Jouw privacy

We geven je gegevens niet door aan anderen en gebruiken ze alleen voor het onderzoeken van de kwetsbaarheid, tenzij we wettelijk verplicht zijn om anders te handelen.

Meld kwetsbaarheden

Deze kwetsbaarheden kun je melden

Goed om te weten

Zo meld je een kwetsbaarheid

Liever anoniem melden?

Beloning bij melden via HackerOne

Checken van een kwetsbaarheid: de spelregels

Veroorzaak geen schade en verstoor onze dienstverlening niet

Werk veilig en ga respectvol om met accounts en gegevens

Gebruik geen sociale, fysieke en bruteforce-testen

Maak geen misbruik van kwetsbaarheden

Wat doet ASN Bank met je melding?

Jouw privacy

, waarmee kunnen we je helpen?

Snel naar