Kwetsbaarheden melden

Heb je een zwakke plek ontdekt in onze systemen? Dan horen we dat graag. Met jouw hulp kunnen we onze diensten verbeteren.

Welke kwetsbaarheden kan ik melden?

Je kunt problemen melden die te maken hebben met onze online dienstverlening. Bijvoorbeeld:

  • Cross-site scripting
  • SQL-injectie
  • Cross-site Request Forgery (CSRF)

Goed om te weten: Heb je een valse e-mail, sms of brief (phishing) ontvangen of wil je een andere soort fraude melden? Dit kun je doen:

Valse e-mail, sms of brief melden

Andere soorten fraude en incidenten melden

Storing bij een geldautomaat van SNS melden

Hoe meld ik een kwetsbaarheid?

Stuur ons een e-mail: responsible-disclosure@snsbank.nl en gebruik daarbij onze publieke PGP Key. Zet in je mail genoeg informatie waarmee we de kwetsbaarheid kunnen reproduceren en verifiëren. Bijvoorbeeld een specifieke url, een stappenplan of een 'proof of concept'.

Anoniem melden

Je kunt een kwetsbaarheid ook anoniem melden door ons te mailen vanaf een willekeurig e-mailadres. Houd er rekening mee dat we je dan geen beloning kunnen geven als je daarvoor in aanmerking komt.

De spelregels

Meld je een zwakke plek aan ons? Dan kom je mogelijk in aanmerking voor een vergoeding. We hebben wel een aantal spelregels:

  • Handel integer en richt geen schade aan tijdens je onderzoek.
  • Verstoor onze dienstverlening niet als je een kwetsbaarheid onderzoekt.
  • Maak nooit gegevens van klanten of van ons openbaar.
  • Iedereen kan een kwetsbaarheid melden. Ook als je geen klant bij SNS bent.
  • Deel de kwetsbaarheid niet met anderen totdat het is opgelost. Praat met onze experts en geef ons de tijd het probleem op te lossen.
  • We behandelen alleen Engelse of Nederlandse meldingen.
  • Maak geen gebruik van aanvallen op fysieke beveiliging, van social engineering of hacking tools als vulnerability scanners.
  • Plaats geen backdoor in een informatiesysteem om daarmee de kwetsbaarheid aan te tonen.
  • Maak minimaal gebruik van een zwakke plek. Doe alleen wat noodzakelijk is om de kwetsbaarheid vast te stellen.
  • Wijzig of verwijder geen gegevens van het systeem.
  • Wees terughoudend met het kopiëren van gegevens.
  • Breng geen systeemveranderingen aan.
  • Probeer wachtwoorden niet herhaaldelijk om toegang tot systemen te krijgen (‘bruteforce’).

Wat doet SNS met mijn melding?

Onze beveiligingsexperts onderzoeken je melding. Je krijgt binnen 2 werkdagen een eerste reactie.

Beloning

We geven je een passende vergoeding als we kwetsbaarheden verhelpen of onze diensverlening aanpassen dankzij je melding. SNS beslist of je hiervoor in aanmerking komt en wat de hoogte van de vergoeding is. Melden anderen dezelfde kwetsbaarheid? Dan is de vergoeding voor de eerste melder.

Jouw privacy

Als je een melding hebt gedaan, vragen we je om je contactgegevens (naam, e-mail, publieke PGP-sleutel en telefoonnummer). We geven je gegevens niet aan anderen en gebruiken ze niet voor andere doeleinden. Tenzij we daartoe wettelijk worden verplicht, bijvoorbeeld bij vordering door justitie.

Veilig internetbankieren

Veilig internetbankieren

Internetbankieren en betalen moeten veilig zijn. Lees wat wij doen en wat je zelf kunt doen.
Fraude melden

Fraude melden

Zie je onbekende overboekingen of denk je dat je benaderd bent door criminelen? Meld het dan bij ons.

Terug naar boven