Coordinated Vulnerability Disclosure

Bij de Christelijke Hogeschool Ede (CHE) nemen we de veiligheid van onze digitale systemen en gegevens serieus. Toch kan het voorkomen dat er een kwetsbaarheid over het hoofd wordt gezien. Heb jij een beveiligingslek ontdekt? Dan horen we dat graag van je. Samen kunnen we zorgen voor een snelle en zorgvuldige oplossing.

groepje tafelvoetbal 2

Richtlijnen

  1. Meld het lek via informatiebeveiliging@che.nl, zo snel mogelijk na ontdekking.*
  2. Misbruik het lek niet. Download geen gegevens en onderzoek het probleem niet verder dan nodig om het te kunnen melden.
  3. Houd het vertrouwelijk. Deel informatie over het lek niet met anderen. Niet vóór herstel, en niet binnen drie maanden na je melding.
  4. Geef voldoende details, zoals een IP-adres, URL en een beschrijving van het probleem, zodat wij het kunnen reproduceren en oplossen.
  5. Verwijder gedownloade gevoelige gegevens zodra de CHE het gemelde probleem heeft kunnen reproduceren.
  6. Beperk je onderzoek tot digitale kwetsbaarheden. Aanvallen op fysieke beveiliging, social engineering, DDoS, spam of het misbruiken van applicaties van derden zijn niet toegestaan.
  7. Check voor het rapporteren of de gevonden kwetsbaarheid binnen de scope valt.

* Anoniem of onder pseudoniem melden is ook mogelijk. Als je iets encrypted wil sturen, kun je gebruik maken van de public pgp-key.

 

PGP key

Onze beloften

Houd jij je aan bovenstaande richtlijnen? Dan beloven wij:

Snelle reactie

We nemen binnen 5 werkdagen contact met je op met een inschatting van de hersteltijd.

Geen juridische stappen

Zolang je handelt volgens deze richtlijnen, ondernemen we geen juridische actie tegen je.

Vertrouwelijkheid

We behandelen je melding discreet en delen je persoonsgegevens niet met derden, tenzij wettelijk verplicht.

Transparantie

We houden je op de hoogte van de voortgang en het herstel.

Erkenning

Als je dat wilt, noemen we je als ontdekker in eventuele communicatie over het lek.

Hall of Fame

Als je dat wilt, plaatsen we als blijk van waardering je naam op onze Hall of Fame.

Let op

Het Coordinated Vulnerability Disclosure‑beleid van de Christelijke Hogeschool Ede richt zich op het melden en oplossen van daadwerkelijk misbruikbare kwetsbaarheden. Niet iedere bevinding vormt een risico voor onze systemen of onze gemeenschap. Daarom vallen sommige meldingen buiten de reikwijdte van dit beleid. Kwetsbaarheden die niet kunnen worden misbruikt of geen aantoonbare impact hebben op de veiligheid van onze dienstverlening worden niet opgenomen in de Hall of Fame. Onderstaand vind je een overzicht van voorbeelden van bevindingen en geaccepteerde risico's die buiten scope vallen binnen het CVD‑beleid van de CHE.

Che Spectrum Binnen

Buiten de scope

Het combineren van HTTP en HTTPS inhoud leidt meestal tot waarschuwingen, maar wordt niet gezien als een misbruikbare kwetsbaarheid.

Cookies zoals taalinstellingen of load‑balancer‑voorkeuren bevatten geen privacygevoelige informatie.

Het zichtbaar zijn van server‑ of applicatieversies op publieke diensten is normale, niet‑kritieke informatie.

Voorbeelden: robots.txt, publieke directory‑lijsten, configuratie‑overzichten of andere niet‑gevoelige data.

Publieke mirrors voor open‑source projecten hebben vaak bewust geen strikte authenticatie en vormen geen kwetsbaarheid.

Open‑source repositories of bewust openbaar gemaakte software vallen buiten de scope.

Hoewel onwenselijk, levert dit zonder concreet misbruikscenario geen valide kwetsbaarheid op.

Zoals Strict‑Transport‑Security, X‑Frame‑Options, X‑Content‑Type‑Options, X‑XSS‑Protection, Content‑Security‑Policy en Cross‑Domain‑Policy.

Denk aan 404‑pagina’s, andere niet‑200‑codes of kleine tekstinjecties, doorgaans zonder risico.

Zoals zwakkere cipher suites of het ontbreken van forward secrecy zonder aanvalsmogelijkheid.

Problemen die alleen via clickjacking uitvoerbaar zijn.

Normaal gedrag van webservers en geen kwetsbaarheid.

Kleine afwijkingen in referer‑headergedrag hebben in principe geen veiligheidsimpact.

Alleen relevant wanneer misbruik mogelijk is; zonder impact buiten scope.

Het melden van verouderde software is alleen relevant indien er daadwerkelijk te misbruiken exploits op bekend en mogelijk zijn.

Bijvoorbeeld EXIF‑ of documentmetadata die geen gevoelige informatie bevat.

Afwijkingen in SPF, DKIM of DMARC zonder aantoonbare impact vallen buiten scope.

PGP Public key 

-----BEGIN PGP PUBLIC KEY BLOCK-----
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-----END PGP PUBLIC KEY BLOCK-----