Responsible Disclosure

Januari 2020, versie 1.0

Introductie

Bent u beveiligingsonderzoeker en heeft u kwetsbaarheden ontdekt in onze systemen? Dan willen wij graag met u samenwerken om deze kwetsbaarheden te verhelpen voordat er misbruik van wordt gemaakt.

Iedere dag zijn de specialisten van de Rabobank bezig met het optimaliseren van onze systemen en processen. Op deze manier zijn onze klanten beter beschermd tegen misbruik en is de bereikbaarheid van diensten zo optimaal mogelijk. Dit betekent natuurlijk niet dat onze ststemen perfect en vrij van alle mogelijke kwetsbaarheden zijn. Vandaar dat we graag samenwerken met experts op het gebied van informatiebeveiliging die een mogelijke kwetsbaarheid in een van onze systemen hebben gevonden.

In Scope

We verzoeken u alle bevindingen met betrekking tot de beveiliging van de Rabobank diensten direct aan ons door te geven. Denk hierbij aan:

  • Remote Code Execution
  • Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • SQL Injection
  • Encryptiekwetsbaarheden
  • Omzeilen van authenticatie of ongeautoriseerde toegang tot data

Niet in Scope

Waar is dit meldpunt niet voor bedoeld?

  • Opmerkingen over de diensten die Rabobank levert
  • Opmerkingen of vragen over de bereikbaarheid van onze diensten
  • Rapporteren van fraude of mogelijke fraude
  • Rapporteren van mogelijk valse of zogenaamde phishing e-mails
  • Rapporteren van problemen met geldautomaten (tenzij beveiligingsgerelateerd)
  • Rapporteren van virussen en/of malware

Het melden van phishing e-mails kan direct door een e-mail te sturen naar: valse-email@rabobank.nl

Voor de overige meldingen kan meer informatie gevonden worden op www.rabobank.nl/veiligheid

Uitsluitingen

De Rabobank kent geen beloning toe voor triviale of niet uit te buiten bugs. Hieronder staan een aantal voorbeelden van bekende kwetsbaarheden en geaccepteerde risico’s waarvoor geen beloning wordt uitbetaald.

  • HTTP 404 codes/pagina’s of andere HTTP non-200 codes/pagina’s
  • Fingerprinting/versie banner disclosure op algemene/publieke services
  • Publiek toegankelijke bestanden en mappen met niet gevoelige informatie
  • Clickjacking en gerelateerde kwetsbaarheden
  • CSRF op formulieren die beschikbaar zijn zonder sessie (bijv. een contactformulier / inlogformulier)
  • Cross-Site Request Forgery op uitlogfunctie
  • Aanwezigheid van “autocomplete” of “save password” functionaliteit
  • Ontbreken van “secure” / “HttpOnly” vlaggen op niet gevoelige cookies
  • Zwakke of omzeiling CAPTCHA implementatie
  • Bruteforce op “Vergeet Wachtwoord” pagina en account lockout niet afgedwongen
  • OPTIONS Method staat aan
  • Username / E-mail enumeratie door bruteforce pogingen via:
    1. Login foutmeldingen
    2. “Vergeet Wachtwoord” / Wachtwoord-foutmeldingen
  • Ontbreken van HTTP Security Headers zoals:
    1. Strict-Transport-Security
    2. X-Frame-Options
    3. X-XSS-Protection
    4. X-Content-Type-Options
    5. Content-Security-Policy, X-Content-Security-Policy, X-WebKit-CSP
  • SSL-configuratie zwakheden:
    1. SSL-aanvallen die niet van buitenaf zijn te misbruiken
    2. SSL “Forward Secrecy” ontbreekt
    3. SSL zwakke en onveilige cipher suites
  • Missing HTTP Public Key Pinning (HPKP)
  • SPF, DKIM, DMARC issues
  • Host Header Injection
  • Content Spoofing / Text Injection op 404 pagina’s
  • Het rapporteren van oude software versies zonder een proof of concept of werkende exploit
  • Het lekken van informatie in Metadata
  • Het missen van DNSSEC
  • Verlopen of inactieve domeinen (domain takeover)
  • Same Site Scripting / localhost DNS record

Spelregels

Tijdens het onderzoek is het mogelijk dat er acties worden ondernomen die strafbaar zijn. Als dit gebeurt vanuit goed vertrouwen en de daarmee gepaard gaande bedoelingen gecombineerd met onderstaande regels is er geen enkele reden voor de Rabobank dit door te geven aan de instanties.

We verzoeken u vriendelijk onderstaande regels te volgen en niet onverantwoordelijk te handelen.

  • Maak de kwetsbaarheid niet publiekelijk bekend voordat we het opgelost hebben. In plaats daarvan, praat met onze experts en geef hen de tijd het probleem op te lossen
  • Zorg ervoor dat gedurende jouw onderzoek en dat van ons met betrekking tot de gerapporteerde bevinding geen schade wordt toegebracht
  • Maak geen gebruik van Social Engineering om toegang te krijgen tot de IT-Systemen van de Rabobank
  • Op geen enkele manier mag het onderzoek een verstoring veroorzaken van onze (online) diensten
  • Op geen enkele wijze mag het onderzoek leiden tot het naar buiten brengen van bank- en/of klantgegevens
  • Er is geen enkele geaccepteerde reden om een backdoor in het systeem achter te laten, ook niet om de kwetsbaarheid aan te tonen. Het aanbrengen van een backdoor zorgt ervoor dat de veiligheid nog meer wordt gecompromitteerd
  • Maak geen wijzigingen in de data en verwijder deze niet. In het geval dat het nodig is voor de bevinding om een kopie te maken van de data in het systeem, beperk dit dan tot wat noodzakelijk is voor de bewijslast
  • Maak geen wijzigingen in de configuratie van het systeem
  • Beperk de penetratie van het systeem tot wat strikt noodzakelijk is om de kwetsbaarheid te vinden en aan te tonen. Indien toegang verkregen is, verwachten wij dat deze op geen enkele wijze gedeeld wordt met anderen
  • Gebruik geen brute force technieken om toegang te krijgen tot de systemen
  • Gebruik geen technieken die de bereikbaarheid van onze (online) diensten beïnvloeden

Bovenstaande regels (de zogenaamde Responsible Disclosure regeling) zijn tot stand gekomen in overleg met het Nationaal Cyber Security Centrum.

Afwijkende internationale regels

Houd er rekening mee dat wet- en regelgeving ook voor Responsible Disclosures in elk land verschillend is. In het geval dat je buiten Nederland verblijft, kan het zijn dat ons beleid niet volledig op jou van toepassing is. Het kan dus zijn dat, ook al heb je volgens de richtlijnen van het Responsible Disclosure beleid van de Rabobank gehandeld, er door justitie wordt opgetreden ondanks het feit dat Rabobank de kwetsbaarheid niet aan hen gerapporteerd heeft.

Melding

Bedrijf de gevonden kwetsbaarheid zo duidelijk en gedetailleerd mogelijk en voeg bewijs bij. U kunt er hierbij vanuit gaan dat de melding door technische beveiligingsexperts wordt gelezen. Vermeld minimaal het volgende:

  • Welke kwetsbaarheid is gevonden
  • De volledige URL waar deze is gevonden
  • De genomen stappen om de kwetsbaarheid te vinden
  • Objecten (zoals filters en invoervelden) die een rol spelen
  • Screen prints worden op prijs gesteld

Let op; we accepteren alleen rapporten in het Nederlands of Engels.

Melden via een versleutelde e-mail

Stuur ons een versleutelde e-mail waarin u het probleem kort en bondig beschrijft. Gebruik voor het versturen van de e-mail de PGP-key die u hieronder kunt downloaden. Een team van beveiligingsexperts onderzoekt uw melding. Geef hen de tijd om het probleem op te lossen. U hoort zo snel mogelijk wat we van uw melding vinden, of we een oplossing gaan toepassen en wanneer we dat gaan doen.

Stuur ons een versleutelde e-mail

Als u anoniem melding doet komt u niet in aanmerking voor een beloning.

Na ontvangst van je melding zal een team van beveiligingsexperts deze beoordelen en zo snel mogelijk reageren. We vragen je vriendelijk om geduld te hebben en hen te tijd te gunnen grondig onderzoek te verrichten en de juiste acties uit te zetten. Zodra er meer bekend is, wordt er wederom contact met je opgenomen. We vragen je in geen geval de melding publiek te maken zonder overleg met onze experts.

Beloning

De Rabobank waardeert uw inzet om ons te helpen onze systemen en processen veilig te houden. Vandaar dat wij in de meeste gevallen tot een passende vergoeding over gaan. De hoogte van de vergoeding wordt bepaald op basis van impact. Hiervoor hoeven wij geen verantwoording af te leggen en behouden ten allen tijde het recht om de vergoeding en de hoogte volledig zelfstandig te bepalen.

Als u in aanmerking komt voor een beloning, hebben wij uw persoonlijke gegevens nodig om de betaling uit te kunnen voeren. Een beloning wordt niet uitgekeerd als:

  • Afzonderlijke partijen dezelfde kwetsbaarheid rapporteren. In dat geval krijgt de eerste melder een beloning
  • U woonachtig bent in een sanctieland
  • De kwetsbaarheid al bij ons bekend is
  • Er sprake is van misbruik of schending van spelregels

Privacy

Om u op de hoogte te houden en een eventuele beloning toe te kunnen kennen, vragen we uw contactinformatie zoals naam, e-mail, PGP-key en in een enkel geval het telefoonnummer. Als de kwetsbaarheid anoniem gerapporteerd wordt, respecteren we dit.

De contactinformatie wordt enkel en alleen gebruikt om u over bovenstaande zaken op de hoogte te houden en wordt niet doorgegeven aan derde partijen zonder uw expliciete toestemming. Dit is echter niet het geval als we bij wet verplicht zijn dit door te geven of wanneer wij het onderzoek van de gemelde kwetsbaarheid overdragen aan een externe partij. In deze gevallen doen wij al het mogelijke om deze informatie vertrouwelijk te laten behandelen en voelen wij ons verantwoordelijk voor de informatie.