Responsible disclosure

Melden van zwakke plekken in onze IT-systemen

Iedere dag werken wij hard om onze systemen veilig en betrouwbaar te houden voor onze klanten. Toch kan het voorkomen dat je een zwakke plek in een van onze systemen ontdekt. We waarderen het enorm als je ons helpt om dit op te lossen.

Samenwerken en discreet met informatie omgaan

Als je kwetsbaarheden in onze systemen openbaar maakt, kan dat ernstige gevolgen hebben. Hoe goed je bedoelingen ook zijn. Criminelen kunnen deze informatie gebruiken en zo bijvoorbeeld internetfraude plegen. Om dat te voorkomen, vragen we je met ons samen te werken. We kunnen dan maatregelen treffen om uitval van systemen en fraude te voorkomen.

Hoe maak je melding?

Vul dit formulier zo volledig mogelijk in. Omschrijf de gevonden kwetsbaarheid zo duidelijk mogelijk. Geef daarbij aan welke methoden je hebt gebruikt om de zwakke plek te vinden en voeg, waar mogelijk, schermafbeeldingen toe. Onze beveiligingsexperts stellen vervolgens vast of er daadwerkelijk sprake is van een probleem. Daarna informeren we je over mogelijke vervolgstappen.

Let op: Je maakt melding bij HackerOne, een externe partij die deze kwetsbaarheden voor ons onderzoekt. Zij doen dit voor de gehele ABN AMRO Hypotheken groep, waar Moneyou onderdeel van is. Het formulier is alleen in het Engels beschikbaar, maar je mag het ook in het Nederlands invullen.

Wat kun je melden?

Je kan alle soorten kwetsbaarheden in onze IT-systemen melden. Neem altijd zo snel mogelijk contact met ons op door het formulier in te vullen.

Voorbeelden:

  • Cross-scripting-kwetsbaarheden.
  • SQL-injectie-kwetsbaarheden.
  • Encryptie-zwakheden.

Wat doen we met je melding?

Ons team van beveiligingsexperts onderzoekt je melding en neemt binnen 2 werkdagen contact met je op. Dat kan gaan over de gevonden zwakke punten, hoe je deze hebt gevonden en de vervolgacties.

Goed om te weten! Je persoonsgegevens gebruiken we alleen om actie te ondernemen naar aanleiding van je melding. Deze geven we nooit, zonder je toestemming, aan derden.

Volgens de regels

Het kan zijn dat je tijdens het onderzoek stafbare handelingen uitvoert. Als je de regels voor het melden van zwakke plekken in onze IT-systemen volgt, doen wij geen aangifte en dienen we ook geen schadeclaim in. We kunnen niet beloven dat je niet wordt vervolgd als je bij je onderzoek strafbare feiten pleegt. Ook als we geen aangifte doen. De officier van justitie beslist namelijk altijd zelf of je wordt vervolgd. Wij gaan daar niet over.

Spelregels

Neem je verantwoordelijkheid en handel zo zorgvuldig en voorzichtig mogelijk. Gebruik bij het onderzoek alleen methoden of technieken die nodig zijn voor het vinden of aantonen van de zwakheden.

  • Beveilig je eigen systemen zo goed mogelijk.
  • Gebruik zwakheden die je ontdekt niet voor andere doelen dan je eigen onderzoek.
  • Maak geen gebruik van social engineering om toegang te krijgen tot een systeem.
  • Plaats geen backdoor in een systeem. Ook niet om de kwetsbaarheid aan te tonen. Door het plaatsen van een backdoor wordt het systeem nog onveiliger.
  • Wijzig of verwijder geen gegevens in het systeem.
  • Breng geen systeemveranderingen aan.
  • Probeer niet vaker dan nodig een systeem binnen te dringen. Als het lukt om een systeem binnen te dringen, deel de toegang dan niet met anderen.
  • Gebruik geen bruteforce-technieken (zoals het herhaaldelijk proberen van wachtwoorden) om toegang tot systemen te krijgen.

Veelgestelde vragen

Kan ik een beloning krijgen voor mijn onderzoek?
Nee, helaas. Dit wordt wel genoemd in de algemene voorwaarden van HackerOne, maar dit geldt niet voor Moneyou.
Mag ik de zwakke plekken die ik vind en mijn onderzoek openbaar maken?
Maak zwakke plekken in onze IT-systemen of je onderzoek nooit, zonder overleg met ons, openbaar. Zo voorkomen we met elkaar dat criminelen misbruik maken van deze informatie. Werk samen met onze beveiligingsexperts en geef ons de tijd om het probleem op te lossen.
Het formulier leidt mij naar een pagina van HackerOne. Klopt dit wel?
Dit klopt. Je maakt melding bij een externe partij, HackerOne, die deze kwetsbaarheden voor ons onderzoekt. Zij doen dit voor de gehele ABN AMRO Hypotheken groep, waar Moneyou onderdeel van is.
Waar is het formulier niet voor bedoeld?

Het formulier is niet bedoeld voor:

  • klachten over de dienstverlening of producten van Moneyou
  • vragen of klachten over de beschikbaarheid van de website, de app of Mijn Moneyou
  • melden van fraude of vermoedens van fraude
  • melden van nepmails of phishing mails
  • melden van virussen
Bovenstaande klachten kan je melden via 0800 - 666 39 93 (kosteloos) of info@moneyou.nl.
Kan ik een zwakke plek ook anoniem melden?
Ja. Het is niet verplicht je naam en contactgegevens door te geven als je een melding doet. Bedenk dan wel dat wij niet met je kunnen overleggen over verdere samenwerking.