Coordinated Vulnerability Disclosure (CVD)
Vindt u een kwetsbaarheid in een systeem van de Belastingdienst, de FIOD, Douane of Dienst Toeslagen en wilt u dit melden? Dan stellen wij dit zeer op prijs! Doe dan wel eerst de melding voordat u die met anderen deelt. Zo voorkomt u dat de informatie in verkeerde handen valt. Lees waar u op moet letten als u een melding doet en hoe wij uw melding verwerken.
Waar moet u op letten?
-
Geef de kwetsbaarheid zo snel mogelijk aan ons door.
U kunt een e-mail sturen naar: cvd@belastingdienst.nl (Belastingdienst en FIOD), cvd@douane.nl (Douane) of cvd@toeslagen.nl (Dienst Toeslagen). Wij vragen u om deze e-mailadressen alleen te gebruiken als u een CVD-melding wilt doen.
Versleutel de bevindingen, indien mogelijk, met onze PGP-sleutel (KeyID: 6456 0D9D, Fingerprint: 5249 2678 B375 E9AA E797 F89A 49CC D9CD 6456 0D9D) om te voorkomen dat de informatie in verkeerde handen valt. -
Geef voldoende informatie over de kwetsbaarheid (Proof-of-Concept).
Zo kunnen we de kwetsbaarheid zo snel mogelijk inschatten op impact. -
Laat uw telefoonnummer en e-mailadres achter.
Zo kan ons Security Operations Center contact met u opnemen. -
Wij nemen scanrapporten zonder een (impactvolle) proof-of-concept niet (verder) in behandeling.
Let op!
We begrijpen dat u graag kwetsbaarheden vindt en dat u uw bevindingen wilt delen met anderen. Wel willen wij u erop wijzen dat informatie uit onze systemen onder onze fiscale geheimhouding valt. Wij bepalen samen met u wanneer en hoe u hierover kunt publiceren.
Wat moet u níét doen?
- malware plaatsen
- gegevens of configuraties van een systeem kopiëren, wijzigen of verwijderen
Tip: maak een directory listing (tree) of screenshot. - 'bruteforcing' om toegang tot systemen te verkrijgen
- backdoors plaatsen of alternatieve toegangsmogelijkheden creëren
- Denial-of-Service-aanvallen gebruiken
- Social Engineering
- gelekte inloggegevens gebruiken om toegang te verkrijgen tot onze systemen
Wat mag u van ons verwachten?
- Het Security Operations Center van de Belastingdienst behandelt uw melding strikt vertrouwelijk. Zonder uw toestemming delen wij geen persoonlijke gegevens met derden (ook niet binnen de Belastingdienst, FIOD, Dienst Toeslagen of Douane). Wij delen uw gegevens wel altijd als dit wettelijk of door een rechterlijke uitspraak verplicht is.
- Binnen 1 werkdag krijgt u een ontvangstbevestiging.
- Binnen 5 werkdagen krijgt u een reactie op uw melding. In de reactie delen wij onze (impact)beoordeling van de melding en laten wij weten wanneer wij een oplossing voor het probleem verwachten.
- Wij houden u op de hoogte van de voortgang. Wij lossen het probleem binnen een redelijke termijn op.
- Als u dit wenst, vermelden wij u als ontdekker van de kwetsbaarheid in onze Hall of Fame. U kunt daarnaast ook een beloning krijgen zoals een mooie brief of zelfs de felbegeerde Belastingdienst-bokaal.
Deze tekst is opgesteld als aanvulling op de leidraad van het Nationaal Cyber Security Centrum (NCSC).
Meer informatie
Lees meer over de licentie op Naamsvermelding-GelijkDelen 3.0 Unported (CC BY-SA 3.0).