Verantwoorde openbaarmaking

Bij de Universiteit Utrecht heeft de veiligheid van onze systemen de hoogste prioriteit. Ondanks onze zorg voor de beveiliging van onze systemen kan er ergens een kwetsbaarheid zijn. U wordt verzocht het aan ons te melden als u een dergelijke kwetsbaarheid op het spoor komt. Wanneer wij een dergelijke melding ontvangen, kunnen wij zo snel mogelijk actie ondernemen, waarbij we samen met u proberen onze systemen voortdurend veilig te houden.

Het netwerk van de Universiteit Utrecht biedt studenten, verenigingen en beginnende bedrijven een plaats op het internet. Hun websites bevinden zich op het netwerk van de universiteit, maar vallen niet onder haar verantwoordelijkheid. Verantwoorde openbaarmakingen met betrekking tot deze sites worden door ons in ontvangst genomen. Hoewel de meldingen worden doorgezonden naar de verantwoordelijke personen, worden zij verder niet in behandeling genomen door de universiteit zelf. De meldingen worden niet in de Hall of Fame opgenomen en over de vorderingen van het onderzoek worden geen mededelingen gedaan.

In onze Hall of Fame willen wij iedereen bedanken die een kwetsbaarheid op een verantwoorde manier heeft gemeld.

Hoe u een verantwoorde openbaarmaking kunt doen

Bij een verantwoorde openbaarmaking wordt u verzocht het volgende te doen:

  • Zend uw bevindingen in een e-mail naar responsible.disclosure@uu.nl. Als u over GPG beschikt, kunt u uw bevindingen versleutelen met behulp van onze PGP-jaarsleutel om te voorkomen dat de verantwoorde openbaarmaking in verkeerde handen valt. PGP-versleuteling is niet verplicht. U mag bij de melding een schuilnaam gebruiken. Studenten hoeven niet bang te zijn dat de melding van hun bevindingen gevolgen heeft voor hun studie.
  • Maak geen gebruik van de kwetsbaarheid die u op het spoor bent gekomen door bijvoorbeeld meer gegevens te downloaden dan noodzakelijk omdat u daarmee de kwetsbaarheid zou willen aantonen. Tevens wordt u verzocht geen gegevens te vernietigen of daarin wijzigingen aan te brengen.
  • Breng anderen niet van het probleem op de hoogte totdat het is opgelost.
  • Maak geen gebruik van aanvallen op fysieke beveiliging of applicaties van derden, van social engineering, (distributed) denial of service, malware of spam. Val geen applicaties van derden aan.
  • Test niet op geautomatiseerde wijze en/of op grote schaal onze websites en applicaties.
  • Geef voldoende informatie om het probleem te reproduceren, zodat we het zo spoedig mogelijk kunnen oplossen. Complexe kwetsbaarheden moeten mogelijk worden toegelicht. Als wij nadere vragen hebben, zullen wij daarover contact met u opnemen.

Wat wij u beloven

Als u een geldige verantwoorde openbaarmaking doet, beloven wij u het volgende:

  • Wij zullen geen juridische stappen overwegen tegen degenen die de melding bij ons hebben ingediend en ongeoorloofde toegang tot gevoelige informatie hebben verkregen, indien zij zich aan de bovenstaande punten hebben gehouden.
  • We achten het van groot belang dat een kwetsbaarheid zo spoedig mogelijk bij ons gemeld wordt, zodat we onmiddellijk actie kunnen ondernemen om onze omgeving te beveiligen. Wij zijn u daarom erkentelijk voor elke melding die wij van u ontvangen.
  • We reageren binnen vijf werkdagen met onze beoordeling van uw melding beoordelen en een verwachte datum voor een oplossing van het probleem.
  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
  • We houden u op de hoogte van de vorderingen die wij maken bij het oplossen van het probleem.
  • Indien u dat wenst, wordt u als indiener van een melding opgenomen in de Hall of Fame, desgewenst onder een schuilnaam.
  • In berichtgeving over het opgeloste probleem zullen wij, indien u dit wilt, uw naam vermelden als de ontdekker en melder van de kwetsbaarheid.
  • Wij streven ernaar om alle gemelde problemen zo snel mogelijk op te lossen.

Buiten de reikwijdte

De Universiteit Utrecht geeft geen beloning voor triviale kwetsbaarheden of bugs die niet misbruikt kunnen worden. Hieronder staan voorbeelden van bekende kwetsbaarheden en aanvaarde risico’s die buiten de reikwijdte van het beleid ten aanzien van verantwoorde openbaarmakingen vallen:

  • Authenticatie op publieke FTP mirrors voor open-source projecten;
  • Publiek aangeboden software en/of broncode;
  • HTTP 404-codes/-pagina’s of andere HTTP niet-200-codes/-pagina’s en content spoofing/tekstinjectie op deze pagina’s;
  • Fingerprinting/versievermelding op publieke services;
  • Ontbrekende limieten op inlogpogingen;
  • Openbaarmaking van publieke bestanden, gegevensoverzichten of niet-gevoelige informatie (bijvoorbeeld robots.txt);
  • Clickjacking en problemen die alleen te exploiteren zijn via clickjacking;
  • Geen secure/HTTP-only flags op niet-gevoelige cookies; Voorbeelden van gevoelige cookies zijn sessie cookies en cookies met persoonsgegevens; Voorbeelden van niet-gevoelige cookies zijn loadbalancer preferences en taal-instellingen;
  • Options HTTP-methode ingeschakeld;
  • Foutieve 'referer' header opties;
  • Alles rondom mixed-content waarschuwingen;
  • Alles wat verband houdt met HTTP/XML-beveiligingsheaders, zoals:
    • Strict-Transport-Security
    • X-frame-options
    • X-XSS-Protection
    • X-Content-Type-Options
    • Content-Security-Policy
    • Cross-Domain-Policy;
  • Problemen met SSL-configuratie:
    • SSL forward secrecy uitgeschakeld
    • Zwakke/onveilige cipher suites
    • Host header-injectie;
  • Problemen met SPF, DKIM of DMARC;
  • Rapporteren van verouderde versies van software zonder een Proof of Concept van een werkende exploit;
  • Informatielekken in metadata.

Deze lijst van reikwijdte is voor het laatste aangepast op 02-01-2023.

Hall of Fame

Wij willen iedereen bedanken die een kwetsbaarheid op een verantwoorde manier heeft gemeld. Degene die als eerste een geldige melding bij responsible.disclosure@uu.nl indient, wordt opgenomen in de Hall of Fame.