Kwetsbaarheid melden (CVD)

Hoe doet u een melding bij ons?

Wij vragen u: 

• Vul het formulier in op https://www.alliander.com/nl/contactformulier-cvd/ 
• Beschrijf in uw melding zo duidelijk mogelijk hoe het probleem kan worden gereproduceerd; dit draagt bij aan een snelle oplossing. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer informatie nodig zijn. Wij nemen daarover dan contact met u op.
• Vul tenminste een e-mailadres of telefoonnummer in zodat wij bij vragen contact met u kunnen opnemen. Communicatie via e-mail heeft onze voorkeur.
• U kunt gebruik maken van versleutelde communicatie door onze publieke PGP-key te gebruiken die te vinden is op https://www.alliander.com/.well-known/security.txt

Wat moet u niet doen?

Vermijd altijd de volgende handelingen: 

• Plaatsen van malware.
• Kopiëren, wijzigen of verwijderen van gegevens in een systeem.
• Aanbrengen van veranderingen in het systeem.
• Herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
• Gebruikmaken van ‘brute force’ om toegang tot een systeem te verkrijgen.
• Gebruik maken van denial-of-service of ‘social engineering’.
• Maak geen misbruik van het probleem door meer gegevens te downloaden dan nodig om het lek op te sporen of gegevens te bekijken, verwijderen of wijzigen.
• Het probleem publiek maken. Wij verzoeken het probleem niet met anderen te delen tot het is opgelost en verwijder alle vertrouwelijke gegevens die werden verkregen via het lek onmiddellijk nadat het probleem is opgelost.
• Maak geen gebruik van aanvallen op onze fysieke veiligheid, social engineering, DDoS-aanvallen, spam of toepassingen van derden.

Wat vragen we

Verschaf voldoende informatie om het probleem te reproduceren zodat we het zo snel mogelijk kunnen oplossen. Meestal volstaan het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid, maar voor complexere kwetsbaarheden kan gedetailleerdere informatie vereist zijn. 

Wat we beloven

• We reageren binnen 5 werkdagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.
• Wanneer u de melding volgens de procedure doet, hebben wij geen reden om juridische consequenties te verbinden aan uw melding. 
• We behandelen uw melding vertrouwelijk en zullen uw persoonlijke informatie niet met derden delen zonder uw toestemming, tenzij we dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht zijn.
• Wij houden u op de hoogte van de voortgang van het oplossen van het probleem.
• Als u zich houdt aan de bovenstaande voorwaarden, zullen we geen juridische stappen ondernemen wat betreft de melding.
• Indien u in aanmerking komt voor een beloning (De Alliander Security Hoodie) dan zullen wij dit in onze reactie aangeven.

Referentiedocumenten

• https://www.ncsc.nl/binaries/ncsc/documenten/publicaties/2019/mei/01/cvd-leidraad/CoordinatedVulnerabilityDisclosure.pdf 
• https://www.om.nl/onderwerpen/cybercrime/coordinated-vulnerability-disclosure—ethisch-hacken 

Kwalificeren van Kwetsbaarheden

We hebben kwetsbaarheden in scope als volgt gedefinieerd: kwetsbaarheden in webapplicaties zoals XSS, XXE, CSRF, SQLi, Local of Remote File Inclusion, authentication issues, remote code execution, autorisatieproblemen en privilege escalation. Deze gekwalificeerde kwetsbaarheden moeten een impact hebben op de beveiliging van de applicatie en een verhoogd risico voor onze klanten inhouden.  

U dient de eerste onderzoeker te zijn die de kwetsbaarheid op een verantwoorde wijze meldt. Elke indiening wordt beoordeeld van geval tot geval. 

Buiten scope

Hieronder volgt een overzicht van problemen die niet als kwetsbaarheden in de beveiliging gelden: 

• Meldingen van oude softwareversies.
• Ontbrekende best practices of output van geautomatiseerde scanhulpmiddelen zonder bewijs van exploiteerbaarheid.
• Het gebruiken van componenten van bekende kwetsbaarheid zonder relevante POC van aanval.
• Geautomatiseerde scans van hulpprogramma’s. Voorbeeld: Web-, SSL- / TLS-scan, Nmap-scanresultaten, enzovoorts.
• Self-XSS en XSS die alleen van invloed zijn op verouderde browsers.
• Ontbrekende best practices of resultaten van geautomatiseerde scanningtools zonder bewijs van vatbaarheid voor misbruik.
• UI en UX bugs en spelfouten.
• Aan TLS/SSL gerelateerde problemen.
• SPF-, DMARC-, DKIM-configuraties.
• Kwetsbaarheden als gevolg van browsers of plug-ins die niet meer geldig zijn.
• Content-Security Policies (CSP).
• Kwetsbaarheden van producten die aan het einde van de levenscyclus zitten.
• Ontbreken van een secure flag op cookies.
• Opsomming van gebruikersnamen.
• Kwetsbaarheden die afhankelijk zijn van de aanwezigheid van plug-ins zoals Flash.
• Gebreken die gebruikers treffen van browsers en plug-ins die niet meer geldig zijn.
• Ontbrekende Security headers zoals onder andere “content-type-options”, “X-XSS-Protection”.
• Ontbrekende CAPTCHAs als beveiligingsmechanisme.
• Problemen die te maken hebben met een kwaadwillig geïnstalleerde applicatie op het apparaat.
• Kwetsbaarheden waarvoor een jailbroken apparaat nodig is.
• Kwetsbaarheden waarvoor fysieke toegang tot een mobiel apparaat nodig is.
• Gebruik van een bibliotheek waarvan bekend is dat deze een beveiligingsrisico inhoudt, zonder bewijs van bruikbaarheid.
• Tap-jacking- en UI-redressing-aanvallen waarbij de gebruiker wordt misleid om op een UI-element te tikken.
• Click / Tap-jacking en UI-redressing-aanvallen waarbij de gebruiker wordt misleid tot het aanraken van een UI-element.
• Host header en banner grabbing
• Denial of Service-aanvallen en Distributed Denial of Service-aanvallen.
• Snelheidsbeperkende, brute force-aanval.
• Login / logout / low-business impact CSRF.
• Onbeperkte bestandsupload.
• Sessiebeperking en sessietime-out.
• Formule / CSV-injectie.