Coordinated Vulnerability Disclosure (CVD)

Het LUMC werkt hard aan het behouden en verbeteren van veilige ICT-systemen. Toch kunnen er kwetsbaarheden (zwakke plekken) zijn. Ontdekt u een kwetsbaarheid in (een van) onze ICT-systemen? Meld dit dan bij ons, zodat wij tijdig maatregelen kunnen nemen. In deze Coordinated Vulnerability Disclosure (CVD) leest u hoe wij met uw melding omgaan.

Netwerk niet actief scannen

Dit CVD-beleid is geen uitnodiging om het LUMC bedrijfsnetwerk uitgebreid en actief te scannen op kwetsbaarheden. De kans is groot dat zo’n scan door ons wordt opgepikt; wij monitoren ons netwerk voortdurend. Ons CERT (Computer Emergency Response Team, gespecialiseerd team ICT-professionals) kan dan onderzoek doen en onnodige kosten maken.

Melden kwetsbaarheid

Hoe zorgen we samen voor veilige ICT-systemen van het LUMC?

Wij vragen u:

  • uw bevindingen zo snel mogelijk te mailen naar CERT@lumc.nl. Versleutel uw bevindingen met onze PGP-sleutel om te voorkomen dat de informatie in verkeerder handen valt. De fingerprint van de PGP-sleutel is:

    67C2EDD36F590362D2080A4E82A67FD39D3FFEAF

  • kwetsbaarheden niet te misbruiken. Bijvoorbeeld door meer gegevens te downloaden dan nodig om de kwetsbaarheid aan te tonen.
  • gegevens van derden niet in te kijken, te verwijderen of aan te passen. Ook vragen wij u extra terughoudend te zijn bij persoonsgegevens.
  • kwetsbaarheden niet met anderen te delen totdat ze zijn opgelost. Ook vragen wij u alle vertrouwelijke gegevens die via kwetsbaarheden zijn verkregen zo snel mogelijk te wissen.
  • geen gebruik te maken van aanvallen op fysieke beveiliging. En ook niet van applicaties van derden, van social engineering, distributed denial-of-service of spam.
  • voldoende informatie te geven om de kwetsbaarheid te reproduceren, zodat wij deze snel kunnen oplossen. Meestal is een IP-adres of URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij complexere kwetsbaarheden kan meer informatie nodig zijn.

Hoe zorgen we samen voor veilige ICT-systemen van het LUMC?

Wij vragen u:

  • uw bevindingen zo snel mogelijk te mailen naar CERT@lumc.nl. Versleutel uw bevindingen met onze PGP-sleutel om te voorkomen dat de informatie in verkeerder handen valt. De fingerprint van de PGP-sleutel is:

    67C2EDD36F590362D2080A4E82A67FD39D3FFEAF

  • kwetsbaarheden niet te misbruiken. Bijvoorbeeld door meer gegevens te downloaden dan nodig om de kwetsbaarheid aan te tonen.
  • gegevens van derden niet in te kijken, te verwijderen of aan te passen. Ook vragen wij u extra terughoudend te zijn bij persoonsgegevens.
  • kwetsbaarheden niet met anderen te delen totdat ze zijn opgelost. Ook vragen wij u alle vertrouwelijke gegevens die via kwetsbaarheden zijn verkregen zo snel mogelijk te wissen.
  • geen gebruik te maken van aanvallen op fysieke beveiliging. En ook niet van applicaties van derden, van social engineering, distributed denial-of-service of spam.
  • voldoende informatie te geven om de kwetsbaarheid te reproduceren, zodat wij deze snel kunnen oplossen. Meestal is een IP-adres of URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij complexere kwetsbaarheden kan meer informatie nodig zijn.

Wij beloven u dat wij:

  • proberen de kwetsbaarheid zo snel mogelijk op te lossen.
  • geen juridische stappen tegen u ondernemen betreffende de melding, als u zich aan bovenstaande verzoeken houdt. Het Openbaar Ministerie beslist zelf over een eventuele strafrechtelijke vervolging.
  • binnen 5 werkdagen op uw melding reageren met onze beoordeling en eventuele verwachte oplostermijn.
  • uw melding vertrouwelijk behandelen en uw persoonlijke gegevens niet met derden delen zonder uw toestemming. Tenzij dat noodzakelijk is voor het nakomen van een wettelijke verplichting.
  • u op de hoogte houden van de voortgang van de oplossing van het probleem.
  • uw naam indien gewenst vermelden als de ontdekker van de kwetsbaarheid in berichtgeving hierover. U krijgt ook (desgewenst) een eervolle vermelding.

Een kwetsbaarheid melden kan ook anoniem of onder een pseudoniem. Wij kunnen dan geen contact opnemen over bijvoorbeeld de vervolgstappen, voortgang of eventuele publicatie van de kwetsbaarheid.

 

Geen kwetsbaarheid

Wat zien wij niet als kwetsbaarheid:

  • Opzettelijke directory inhoud listing(s) voor research of publicatie doeleinden
  • SPF, DKIM, DMARC issues
  • Ontbrekende secure of http only flags
  • Melding van verouderde software of upgrade mogelijkheid zonder daarbij behorende exploit en proof of concept
  • Ontbrekende DNSSEC informatie
  • php accessibility
  • Clickjacking (of framing)

Dit is geen uitputtende lijst; onze systemen worden regelmatig getoetst op kwetsbaarheden. Beveiligingsproblemen die daaruit voortkomen zien wij als bekende problemen.

Eervolle vermeldingen

Verdient uw melding volgens het LUMC een eervolle vermelding? Met uw toestemming vermelden wij uw naam dan in onderstaande ‘Hall of Fame’.

Het LUMC bedankt onderstaande personen voor het melden van hun bevindingen over onze systemen. Mede dankzij hun inzet is de beveiliging op het juiste niveau.

  • Shazil Rao | 2024
  • Adrian Tirado Garcia | 2024
  • Shivam Dhingra | 2024
  • Parth Narula | 2024
  • Prathamesh Patil | 2024
  • Gaurang Maheta | 2024
  • Vijay Sutar | 2024
  • Teun van der Ploeg | 2023
  • Mr!dul Vohra | 2022
  • Gowthamaraj Rajendran | 2022
  • Abhay Vishwakarma | 2022
  • Ramon Dunker | 2022
  • Lakshit Sharm | 2022
  • Sadekh Shaikh | 2022
  • Hatim chabik | 2021
  • Kommalapati Manohar | 2021
  • Parth Manek | 2021
  • Ashutosh Rimal | 2021
  • Vedant Shinde | 2021
  • Pankaj Lakshkar | 2021
  • Michele Corrias | 2021
  • Nitesh Singh | 2021
  • Parth Surati | 2021
  • Shreya Achrya | 2021
  • Sheikh rishad | 2021
  • Gaurang Maheta | 2021
  • Jai Kumar | 2021
  • Irshad Mohammed | 2021
  • Rifat Khan | 2021
  • Harinder Singh | 2021
  • Sock Puppets | 2021