Kwetsbaarheden melden

Heb je een probleem of zwakke plek gevonden in onze internetdiensten? Deel het met onze experts. We werken graag met je samen om deze problemen op te lossen.

Responsible Disclosure

Ben je beveiligingsonderzoeker en heb je kwetsbaarheden ontdekt in onze systemen? Dan willen we graag met je samenwerken om deze kwetsbaarheden te verhelpen voordat er misbruik van wordt gemaakt.

Iedere dag zijn specialisten van Rabobank bezig met het optimaliseren van onze systemen en processen. Op deze manier zijn onze klanten beter beschermd tegen misbruik en is de bereikbaarheid van diensten zo optimaal mogelijk. Dit betekent natuurlijk niet dat onze systemen perfect en vrij van alle mogelijke kwetsbaarheden zijn. Vandaar ook dat we graag samenwerken met experts op het gebied van informatiebeveiliging die een mogelijke kwetsbaarheid in een van onze systemen hebben gevonden.

In scope

We vragen je alle bevindingen met betrekking tot de beveiliging van Rabobank diensten aan ons door te geven, liefst zo snel mogelijk. Denk hierbij aan:

Remote Code Execution

Cross-Site Scripting (XSS)

Cross-Site Request Forgery (CSRF)

SQL Injection

Encryptiekwetsbaarheden

Omzeilen van authenticatie of ongeautoriseerde toegang tot data

Niet in scope

Waar is dit meldpunt niet voor bedoeld?

opmerkingen over de diensten die Rabobank levert

opmerkingen of vragen over de bereikbaarheid van onze diensten

rapporteren van fraude of mogelijke fraude

rapporteren van mogelijk valse of zogenaamde phishing e-mails

rapporteren van problemen met geldautomaten (tenzij beveiligingsgerelateerd)

rapporteren van virussen en/of malware

Het melden van phishing e-mails kan direct door een e-mail (door) te sturen naar: valse-email@rabobank.nl.

Uitsluitingen

Rabobank kent geen beloning toe voor triviale of niet uit te buiten bugs. Hieronder staan een aantal voorbeelden van bekende kwetsbaarheden en geaccepteerde risico’s waarvoor geen beloning wordt uitbetaald.

HTTP 404 codes/pagina’s of andere HTTP non-200 codes/pagina’s.

Fingerprinting/versie banner disclosure op algemene/publieke services.

Publiek toegankelijke bestanden en mappen met niet gevoelige information, (e.g. robots.txt).

Clickjacking en gerelateerd kwetsbaarheden.

CSRF op formulieren die beschikbaar zijn zonder sessie (bijv. een contactformulier/inlogformulier).

Cross-Site Request Forgery op uitlogfunctie.

Aanwezigheid van ‘autocomplete’ of ‘save password functionaliteit.

Ontbreken van ‘Secure’ / ‘HTTP Only’ vlaggen op niet gevoelige cookies.

Zwakke CAPTCHA of CAPTCHA omzeiling.

Bruteforce op Vergeet Wachtwoord Pagina en Account Lockout niet afgedwongen.

OPTIONS Method staat aan.

Username / Email enumeratie door bruteforce pogingen: via Login foutmeldingen. ‘Vergeet Wachtwoord’ Wachtwoord’-foutmeldingen.

Ontbreken van HTTP Security Headers zoals: Strict-Transport-Security. X-Frame-Options. X-XSS-Protection. X-Content-Type-Options. Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP.

SSL-configuratie-zwakheden: SSL-aanvallen die niet van buitenaf zijn te misbruiken. SSL ‘Forward Secrecy’ ontbreekt.SSL zwakke en onveilige cipher suites.

Missing HTTP Public Key Pinning (HPKP).

SPF, DKIM, DMARC issues.

Host Header Injection.

Content Spoofing/Text Injection op 404 pagina's.

Het rapporteren van oude software versies zonder een proof of concept of werkende exploit.

Het lekken van informatie in Metadata. >

Het missen van DNSSEC.

Verlopen of inactive domeinen (domain takover).

Same Site Scripting / localhost DNS record.

Meer informatie

Tijdens het onderzoek is het mogelijk dat er acties worden ondernomen die strafbaar zijn. Als dit gebeurt vanuit goed vertrouwen en de daarmee gepaard gaande bedoelingen gecombineerd met onderstaande regels is er geen enkele reden voor Rabobank om dit door te geven aan de instanties. We verzoeken je vriendelijk onderstaande regels te volgen en niet onverantwoordelijk te handelen.

Maak de kwetsbaarheid niet publiek voordat we het opgelost hebben. In plaats daarvan, praat met onze experts en geef hen de tijd het probleem op te lossen.

Zorg ervoor dat gedurende je onderzoek en dat van ons met betrekking tot de gerapporteerde bevinding geen schade wordt toegebracht.

Maak geen gebruik van Social Engineering om toegang te krijgen tot de IT-systemen van Rabobank.

Op geen enkele manier mag het onderzoek een verstoring veroorzaken van onze (online) diensten.

Op geen enkele wijze mag het onderzoek leiden tot het naar buiten brengen van bank- en/of klantgegevens.

Er is geen enkele geaccepteerde reden om een backdoor in het systeem achter te laten, ook niet om de kwetsbaarheid aan te tonen. Het aanbrengen van een backdoor zorgt ervoor dat de veiligheid nog meer wordt gecompromitteerd.

Maak geen wijzigingen in de data en verwijder deze niet. In het geval dat het nodig is voor de bevindingen om een kopie te maken van de data in het systeem, beperk dit dan tot wat noodzakelijk is voor de bewijslast.

Maak geen wijzigingen in de configuratie van het systeem.

Beperk de penetratie van het systeem tot wat strikt noodzakelijk is om de kwetsbaarheid te vinden en aan te tonen. Indien toegang verkregen is, verwachten wij dat deze op geen enkele wijze gedeeld wordt met anderen.

Gebruik geen brute force-technieken om toegang te krijgen tot de systemen.

Gebruik geen technieken die de bereikbaarheid van onze (online) diensten beïnvloeden.

Bovenstaande regels (de zogenaamde responsible disclosure regeling) zijn tot stand gekomen in overleg met het Nationaal Cyber Security Centrum.

Afwijkende internationale regels

Houd er rekening mee dat wet- en regelgeving ook voor Responsible Disclosures in elk land verschillend is. In het geval dat je buiten Nederland verblijft, kan het zijn dat ons beleid niet volledig op jou van toepassing is. Het kan dus zijn dat, ook al heb je volgens de richtlijnen van het Responsible Disclosure beleid van Rabobank gehandeld, er door justitie wordt opgetreden ondanks het feit dat Rabobank de kwetsbaarheid niet aan hen gerapporteerd heeft.

Beschrijf de gevonden kwetsbaarheid zo duidelijk en gedetailleerd mogelijk en voeg bewijs bij. Je kunt er hierbij vanuit gaat dat de melding door technische beveiligingsexperts wordt gelezen.

Vermeld minimaal het volgende:

Welke kwetsbaarheid is gevonden.

De volledige URL waar deze is gevonden.

De genomen stappen om de kwetsbaarheid te vinden.

Objecten (zoals filters of invoervelden) die een rol spelen.

Screen prints worden op prijs gesteld.

Let op: we accepteren alleen rapporten in het Engels.

Melden via formulier

Stuur je melding via het formulier in de onderstaande link. Een team van beveiligingsexperts onderzoekt je melding. Geef hen de tijd om het probleem op te lossen. Je hoort zo snel mogelijk wat we van je melding vinden, of we een oplossing gaan toepassen en wanneer we dat gaan doen.

Stuur je melding via het formulier

Als je anoniem melding doet, kom je niet in aanmerking voor een beloning. Na ontvangst van je melding zal een team van beveiligingsexperts deze beoordelen en zo snel mogelijk reageren. We vragen je vriendelijk om geduld te hebben en hen de tijd te gunnen grondig onderzoek te verrichten en de juiste acties uit te zetten. Zodra er meer bekend is, wordt er wederom contact met je opgenomen. We vragen je in geen geval de melding publiek te maken zonder overleg met onze experts.

Rabobank waardeert je inzet om ons te helpen onze systemen en processen veilig te houden. Vandaar dat wij in de meeste gevallen tot een passende vergoeding over gaan. De hoogte van de vergoeding wordt bepaald op basis van impact. Hiervoor hoeven wij geen verantwoording af te leggen en behouden te allen tijde het recht om de vergoeding en de hoogte volledig zelfstandig te bepalen.

Een beloning wordt niet uitgekeerd als:

afzonderlijke partijen dezelfde kwetsbaarheid rapporteren. In dat geval krijgt de eerste melder een beloning

je woonachtig bent in een sanctieland

de kwetsbaarheid al bij ons bekend is

er sprake is van misbruik of schending van spelregels

Om je op de hoogte te houden en een eventuele beloning toe te kunnen kennen, vragen we je contactinformatie zoals naam, e-mailadres, PGP-Key en in een enkel geval het telefoonnummer. Als de kwetsbaarheid anoniem gerapporteerd wordt, respecteren we dit.

De contactinformatie wordt enkel en alleen gebruikt om je over bovenstaande zaken op de hoogte te houden en wordt niet doorgegeven aan derde partijen zonder je expliciete toestemming. Dit is echter niet het geval als we bij wet verplicht zijn dit door te geven of wanneer wij het onderzoek van de gemelde kwetsbaarheid overdragen aan een externe partij. In deze gevallen doen wij al het mogelijke om deze informatie vertrouwelijk te laten behandelen en voelen wij ons verantwoordelijk voor de informatie.