Coordinated Vulnerability Disclosure - Omroep Brabant

Coordinated Vulnerability Disclosure


* For English see below

Bij Omroep Brabant vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze goede zorg en bedoelingen kan het zo zijn dat er in de beveiliging van een van onze systemen een kwetsbaarheid voorkomt.

Als je een zwakke plek hebt gevonden in een van onze systemen dan horen wij dat graag zo snel mogelijk. Wij kunnen dan zo snel mogelijk deze kwetsbaarheid oplossen.

Wat we aan je vragen

  • Dat je jouw bevindingen zo snel mogelijk mailt naar [email protected].
  • Dat je de kwetsbaarheid niet misbruikt door bijvoorbeeld gegevens te downloaden, te veranderen of te verwijderen.
  • Dat je de kennis over de kwetsbaarheid niet met anderen deelt zo lang het niet is opgelost.
  • Dat je ons voldoende informatie geeft om het probleem te reproduceren, zodat wij het zo snel mogelijk kunnen oplossen.
  • Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij complexere kwetsbaarheden kan meer nodig zijn.

Vermijd dus in elk geval de volgende handelingen

  • Het plaatsen van malware.
  • Het kopiëren, wijzigen of verwijderen van gegevens in een systeem.
  • Het aanbrengen van veranderingen in het systeem.
  • Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
  • Het gebruik van geautomatiseerde scantools.
  • Het gebruik van het zogeheten “bruteforcen” van toegang tot systemen.
  • Het gebruik van denial-of-service of social engineering.
Als je bij de melding van een geconstateerde kwetsbaarheid in een systeem van de Omroep Brabant aan bovenstaande voorwaarden voldoet, zullen we geen juridische consequenties verbinden aan deze melding. Wat je van ons mag verwachten
  • Wij reageren binnen vijf werkdagen inhoudelijk op je melding, inclusief de verwachte oplossingstermijn. Uiteraard houden we je ook daarna regelmatig op de hoogte over de voortgang van het oplossen van de kwetsbaarheid.
  • Afhankelijk van de ernst en complexiteit van de kwetsbaarheid, lossen we deze zo snel mogelijk op.
  • Wij behandelen jouw melding vertrouwelijk en zullen jouw persoonlijke gegevens niet met derden delen zonder jouw toestemming. Een uitzondering hierop zijn politie en justitie, in het geval van aangifte of wanneer de gegevens worden opgeëist.
  • Als je dit wenst en ermee instemt, zullen we je naam bij een publicatie over de kwetsbaarheid vermelden.
  • Als dank voor je hulp belonen we je graag voor de melding van een tot dan toe ons nog onbekende kwetsbaarheid. De beloning is afhankelijk van de ernst van de kwetsbaarheid en de kwaliteit van de melding, tot een maximum van €50,- aan cadeaubonnen. Het moet hierbij wel gaan om een voor ons nog onbekend en serieus beveiligingsprobleem. Om hiervoor in aanmerking te komen, dienen wel jouw contactgegevens bij ons bekend te zijn.
Versie 1 van 23 augustus 2021



Coordinated Vulnerability Disclosure


At Omroep Brabant we are very keen on the security of our systems. Nevertheless, despite our good care and intent, it is possible that a system of ours is subject to a vulnerability. If you discover such a vulnerability, then we would very much like to hear from you as soon as possible. This would enable us to resolve the vulnerability as quickly as possible. What we ask of you
  • That you share your findings as soon as possible via email to [email protected].
  • That you do not exploit the vulnerability by, for example, downloading, changing or deleting data.
  • That you do not share any knowledge regarding the vulnerability with anyone, for as long as the vulnerability has not been resolved.
  • That you provide us with enough information in order to reproduce the problem, so we can resolve it as quickly as possible. In most instances it will suffice when you provide us the IP-address or the URL of the vulnerable system and a description of the vulnerability.

Avoid the following actions

  • Placing malware.
  • Copy, change or delete data on a system.
  • Making changes to a system.
  • Repeatedly getting access to the system or share any form of access with others.
  • The use of automated scanning tools.
  • The use of so called ‘brute force’ techniques in order to obtain access to our systems.
  • The use of denial-of-service or social engineering techniques.
If you take the above mentioned conditions into account when reporting a discovered vulnerability to us, than Omroep Brabant will not take any legal actions regarding your notification.

What you may expect from us

  • You may expect a response from us within 5 work days, including the perceived resolution period. Additionally, we will keep you informed about any progressions we make during the resolution of the vulnerability.
  • Depending on the severity and complexity of the vulnerability, we will try to resolve it as soon as possible.
  • We will treat your notification with utmost confidentiality and therefore will not share your personal identifiable information with third party’s without your consent. The only exception we uphold regards criminal charges or demands by judicial forces, such as the police or the justice department.
  • By your wish and with your consent, we will mention your name as the one who discovered the vulnerability in case the vulnerability is being disclosed.
  • As a token of our appreciation, we would like to reward you. This reward depends on the severity of the vulnerability and the quality of your notification, with a reward up to a maximum of 50,- EUR in giftcards. In order to qualify for a reward, it is important that the vulnerability is (until the moment of notification) unknown to us and that it pertains a serious security issue. Additionally, in order to issue a reward, your contact information needs to be known to us.
Version 1, august 23, 2021