Responsible Disclosure melding: Responsible Disclosure melding

Heb je een zwakke plek ontdekt in de IT-systemen van één of meer van de juridische entiteiten behorende tot de Royal Schiphol Group statutair gevestigd in Nederland? Dan horen we dit graag van je. Het is belangrijk dat we voorzichtig en secuur te werk gaan om ons ook digitaal zo goed mogelijk te beschermen. Daarom vragen we je hier verantwoordelijk mee om te gaan en de regels voor Responsible Disclosure meldingen goed door te nemen. Alvast bedankt voor je hulp!

Wat kan je melden?

Het is prettig als je problemen in onze digitale systemen kan melden, zoals:

  • Remote Code Execution
  • Cross Site Scripting (XSS)
  • Cross Site Request Forgery (CSRF)
  • Injectiekwetsbaarheden
  • Gebroken authenticatie en sessie management
  • Kwetsbaarheden met betrekking tot encryptie
  • Ongeautoriseerde toegang tot gegevens
  • API’s die onvoldoende beschermd zijn

Hoe kan je dit melden?

Heb je iets ontdekt? Dan willen we dat graag direct weten.

  • Mail je bevindingen zo snel mogelijk naar responsible (punt) disclosure (apenstaartje) schiphol (punt) nl.
    Versleutel je e-mail indien mogelijk met de PGP-sleutel van Schiphol. Hiermee voorkomen we dat de informatie in verkeerde handen valt.
  • Vertel in je mail hoe je op dit probleem bent gestuit, zodat we dit kunnen reproduceren. Omschrijf het probleem en geef het IP-adres of de URL door.
  • Vermeld in je mail ook jouw contactgegevens zoals een e-mailadres of telefoonnummer. Dan kunnen we contact met je opnemen om samen te werken aan een veiligere oplossing.
  • Je krijgt van ons zo snel mogelijk bericht terug over de verdere gang van zaken.

Fijn als we op je kunnen rekenen

We vertrouwen erop dat je verantwoordelijk omgaat met de informatie over het beveiligingsprobleem. We verwachten dat je deze kennis met niemand anders dan Schiphol deelt. Ook vragen we je vriendelijk om niet meer handelingen te verrichten om het beveiligingsprobleem aan te tonen. En mocht je via het lek vertrouwelijke gegevens hebben verkregen, wil je deze dan direct en onherroepelijk wissen?

Let op de regels

Het kan zijn dat je met jouw onderzoek aan onze IT-systemen de (internationale) wet overtreedt. Je riskeert hiermee een strafrechtelijke vervolging. De regels van de wet staan boven de regels die Schiphol zelf hanteert. Houd dus goed in de gaten dat je geen illegale handelingen verricht die wij moeten rapporteren bij de autoriteiten.

Royal Schiphol Group Responsible Disclosure Hall of Fame

Namen of pseudoniemen van mensen die hebben bijgedragen aan onze veiligheid volgens de regels van de responsible disclosure zijn te vinden in onze Responsible Disclosure Hall of Fame