Responsible disclosure

Melden van zwakke plekken in onze IT-systemen

Iedere dag werken wij hard om onze systemen veilig en betrouwbaar te houden zodat onze klanten verantwoord online kunnen bankieren bij Moneyou. Desondanks kan het voorkomen dat je een zwakke plek in één van onze systemen aantreft. We stellen het zeer op prijs als je ons wilt helpen om dit probleem op te lossen.

Samenwerken - graag niet openbaar maken

We zijn er niet op uit eventuele zwakke plekken in onze systemen geheim te houden. Als je echter, zonder eerst met ons te overleggen, dergelijke kwetsbaarheden openbaar maakt, kan dat ernstige gevolgen hebben. Hoe goed je bedoelingen ook zijn. Criminelen kunnen deze informatie gebruiken en zo bijvoorbeeld internetfraude plegen. Om dat te voorkomen vragen we je om met ons te werken aan een oplossing. We kunnen maatregelen treffen om uitval van systemen en fraude te voorkomen. We belonen je ook graag voor je medewerking.

Hoe maak je melding?

Stuur een e-mail naar responsible.disclosure@moneyou.nl. Omschrijf de gevonden kwetsbaarheid zo duidelijk mogelijk. Geef daarbij aan welke methoden je hebt gebruikt om de zwakke plek te vinden en voeg, indien mogelijk, screenshots toe. Na ontvangst van je melding stellen onze beveiligingsexperts vast of er daadwerkelijk sprake is van een probleem. Aansluitend zullen we je informeren over eventuele vervolgstappen.

Wat kun je melden?

Je kunt alle soorten kwetsbaarheden in onze IT-systemen melden. Neem altijd zo snel mogelijk contact met ons op.

Voorbeelden:

  • Cross-scripting-kwetsbaarheden;
  • SQL-injectie-kwetsbaarheden;
  • Encryptie-zwakheden.

Wat doen we met je melding?

Ons team van beveiligingsexperts onderzoekt je melding en neemt binnen 2 werkdagen contact met je op. Dat kan gaan over de gevonden zwakke punten, hoe je deze hebt gevonden en de vervolgacties.

Je privacy

Je persoonsgegevens worden alleen gebruikt om actie te ondernemen naar aanleiding van je melding. Deze zullen we nooit, zonder je toestemming, aan derden verstrekken.

Volgens de regels

Het kan zijn dat je, tijdens het onderzoek, handelingen uitvoert die strafbaar zijn. Als je regels voor het melden van zwakke plekken in onze IT-systemen volgt, doen wij geen aangifte en dienen we ook geen schadeclaim in. Houd er rekening mee dat de officier van justitie uiteindelijk beslist of je wordt vervolgd. Wij gaan daar niet over. Wij kunnen dus niet beloven dat je niet wordt vervolgd als je tijdens het onderzoek strafbare feiten begaat.Over het melden van zwakke plekken in IT-systemen heeft het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie een leidraad gemaakt. Onze regels zijn op die leidraad gebaseerd.

Spelregels

Neem je verantwoordelijkheid en handel zo zorgvuldig en voorzichtig mogelijk. Gebruik bij het onderzoek alleen methoden of technieken die nodig zijn voor het vinden of aantonen van de zwakheden.

  • Beveilig je eigen systemen zo goed mogelijk;
  • Gebruik zwakheden die je ontdekt niet voor andere doelen dan je eigen onderzoek;
  • Maak geen gebruik van social engineering om toegang te krijgen tot een systeem;
  • Plaats geen backdoor in een systeem. Ook niet om de kwetsbaarheid aan te tonen. Door het plaatsen van een backdoor wordt het systeem nog onveiliger;
  • Wijzig of verwijder geen gegevens in het systeem;
  • Breng geen systeemveranderingen aan;
  • Probeer niet vaker dan nodig een systeem binnen te dringen. Als het lukt om een systeem binnen te dringen, deel de toegang dan niet met anderen;
  • Gebruik geen bruteforce-technieken (zoals het herhaaldelijk proberen van wachtwoorden) om toegang tot systemen te krijgen.

Veelgestelde vragen

Kan ik een beloning krijgen voor mijn onderzoek?

Ja, dat kan. Wij kunnen je een beloning geven voor je vondst. We zijn daartoe echter niet verplicht. Je hebt dus niet zonder meer recht op een vergoeding. De hoogte van de beloning staat ook niet vast. Die wordt door ons bepaald. Of we een beloning geven en de hoogte daarvan, hangt onder andere af van:

  • De zorgvuldigheid van je onderzoek.
  • De kwaliteit van je melding
  • De hoogte van de eventuele schade die door je melding wordt voorkomen.
Mag ik de zwakke plekken die ik vind en mijn onderzoek openbaar maken?

Maak zwakke plekken in onze IT-systemen of je onderzoek nooit, zonder overleg met ons, openbaar. Zo kunnen we samen voorkomen dat criminelen misbruik maken van deze informatie. Werk samen met onze beveiligingsexperts en geef ons de tijd om het probleem op te lossen.
Waar is het e-mailadres niet voor bedoeld?

Het meldpunt responsible.disclosure@moneyou.nl is niet bedoeld voor:

  • Het indienen van klachten over de dienstverlening of producten van Moneyou.
  • Vragen of klachten over de beschikbaarheid van de website, de app of internetbankieren.
  • Het melden van problemen met geld- of pinautomaten.
  • Het melden van fraude of vermoedens van fraude.
  • Het melden van nepmails of phishing e-mails.
  • Het melden van virussen.

Bovenstaande klachten kun je melden via 0800 - 666 93993 (kosteloos) of via info@moneyou.nl.
Kan ik een zwakke plek ook anoniem melden?

Ja. Het is niet verplicht je naam en contactgegevens door te geven als je een melding doet. Bedenk dan wel dat wij niet met je kunnen overleggen over verdere samenwerking of een eventuele beloning.