Responsible disclosure-programma
Ontdek je kwetsbaarheden op de platformen van CM? Meld ze in ruil voor een beloning.
CM zet in op digitale veiligheid
CM zet in op maximale digitale veiligheid door samen te werken met ethische hackers. Naast interne tests laat CM ook gecontroleerde externe tests toe via een responsible disclosure-programma, waarbij ethische hackers onder strikte voorwaarden kwetsbaarheden zoeken en melden.
Hoe willen we dit realiseren?
Proactief kwetsbaarheden opsporen en aanpakken.
- CM test haar systemen niet alleen intern, maar biedt ook externe ethische hackers de kans om kwetsbaarheden op te sporen.
- Deze aanpak biedt een extra beschermingslaag tegen cybercriminaliteit.
- Veiligheidslekken worden sneller gedetecteerd, zelfs voor ze publiek bekend raken. Zo blijft de privacy van leden beter beschermd.
Duidelijk gereguleerd via een responsible disclosure policy
- Melders en ethische hackers mogen onder strikte voorwaarden beveiligingsproblemen aangeven.
- Activiteiten gebeuren in overleg, volgens vaste regels die garanderen dat de gegevens van leden beschermd blijven.
- Het beleid is volledig in overeenstemming met de Belgische wetgeving.
Erkenning en stimulans voor de community
- CM erkent de waarde van ethische hackers, beloont hen bij geldige meldingen en zet hen in de kijker via een Hall of Fame.
- Dit stimuleert een bredere betrokkenheid bij digitale veiligheid.
Algemene afspraken
Iedere natuurlijke persoon of rechtspersoon kan het bestaan melden van een mogelijke kwetsbaarheid. De melding gebeurt schriftelijk, volgens de procedure die hieronder beschreven wordt.
CM onderzoekt en test elke melding om zo te bepalen of er effectief sprake is van een mogelijke kwetsbaarheid of om de door de melder gebruikte methoden na te gaan.
CM verbindt er zich toe om de volledigheid, integriteit, duurzame opslag en vertrouwelijkheid te waarborgen van alle informatie die via de melding wordt overgemaakt. De identiteit van de melder wordt eveneens beschermd, mits uitdrukkelijk verzoek daartoe. De melder wordt enkel opgenomen in de Hall of Fame voor zover hij of zij daarvoor expliciete toestemming heeft verleend.
Personen die een melding doen volgens de juiste procedure, hoeven geen juridische gevolgen te vrezen. Handelingen die nodig zijn om de melding te kunnen doen, worden niet als strafbaar beschouwd, zolang de melder zich aan de volgende voorwaarden houdt:
- De melder heeft zonder bedrieglijk opzet of het oogmerk om te schaden gehandeld.
- De melder heeft de organisatie die verantwoordelijk is voor het systeem, het proces of de controle zo snel mogelijk ingelicht over de ontdekking van een mogelijke kwetsbaarheid.
- De melder is niet verder gegaan dan hetgeen nodig en evenredig was om het bestaan van een kwetsbaarheid na te gaan.
- De melder heeft de informatie over de ontdekte kwetsbaarheid niet openbaar gemaakt zonder de toestemming van CM.
- De melder heeft geen kopieën van data bijgehouden nadat de melding gemaakt werd.
Een melder die in het kader van zijn of haar werk bepaalde informatie verkrijgt en deze informatie meedeelt in een melding kan niet strafbaar gesteld worden voor het doorbreken van het beroepsgeheim en kan niet aansprakelijk gesteld worden voor het delen van de informatie, zolang deze strikt noodzakelijk is om de kwetsbaarheid (correct) te melden bij CM.
Scope
- https://www.cm.be/nl/toepassingen/cm-gezondheidsacademie
- https://www.mc.be/fr/services-en-ligne/souscrire-assurance
- https://www.ckk-mc.be/online-dienste/versicherung-abschliessen
- https://www.cm.be/nl/toepassingen/zoek-een-zorgverlener-je-buurt
- https://www.mc.be/fr/services-en-ligne/rechercher-prestataire
- https://www.ckk-mc.be/online-dienste/leistungserbringer
- https://www.cm.be/nl/toepassingen/online-aangifte-ziekenhuisopname
- https://www.mc.be/fr/services-en-ligne/demande-intervention-hospitalisation
- https://www.ckk-mc.be/online-dienste/antrag-erstattung-krankenhausrechnung
- https://www.cm.be/nl/contact/contactformulier
- https://www.mc.be/fr/contact/formulaire
- https://www.ckk-mc.be/kontakt/formular
- https://www.cm.be/nl/contact/cm-in-je-buurt
- https://www.mc.be/fr/services-en-ligne/points-de-contact
- https://www.ckk-mc.be/online-dienste/kontaktpunkte
- https://www.cm.be/dimona
- https://www.mc.be/fr/services-en-ligne/dimona
- https://www.ckk-mc.be/online-dienste/dimona
- https://www.cm.be/nl/toepassingen/ezvk-aanvragen
- https://www.mc.be/fr/services-en-ligne/commander-ceam
- https://www.ckk-mc.be/online-dienste/ekvk-beantragen
- https://www.cm.be/jongeren
- https://www.cm.be/nl/toepassingen/toestemming-verwerking-medische-gegevens
- https://www.mc.be/fr/services-en-ligne/consentement-gdpr
- https://www.ckk-mc.be/online-dienste/einverstaendiserklaerung-gdpr
- https://www.cm.be/nl/doccle-documenten-raadplegen
- https://www.mc.be/fr/services-en-ligne/doccle
- https://www.ckk-mc.be/online-dienste/doccle
- https://www.cm.be/nl/toepassingen/gele-klevers
- https://www.mc.be/fr/services-en-ligne/commander-vignettes
- https://www.ckk-mc.be/online-dienste/aufkleber-bestellen
- https://www.cm.be/nl/toepassingen/welke-verzekering-past-bij-jou
- https://www.cm.be/nl/aanvraag-verzekeringsvoorstel
- https://www.cm.be/nl/toepassingen/bereken-je-premie
- https://www.cm.be/nl/jobs/vacaturelijst
- https://www.mc.be/fr/jobs/offres-emploi
- https://www.cm.be/nl/jobs/vacaturelijst/vacaturedetail
- https://www.mc.be/fr/jobs/offres-emploi/detail-offre
- https://www.cm.be/nl/jobs/alerts-beheer
- https://www.cm.be/nl/toepassingen/bereken-zelf-je-terugbetaling
- https://www.mc.be/fr/services-en-ligne/tarifs-officiels-remboursements
- https://www.ckk-mc.be/online-dienste/honorare-rueckerstattungen
- https://www.cm.be/nl/toepassingen/vergelijking-ziekenhuistarieven
- https://www.mc.be/fr/services-en-ligne/prix-hopitaux-belgique
- https://www.ckk-mc.be/online-dienste/krankenhaus-kosten-belgien
- https://www.cm.be/nl/toepassingen/aanmelden-op-mijn-cm
- https://www.mc.be/fr/services-en-ligne/connexion-ma-mc
- https://www.ckk-mc.be/online-dienste/sso-onboarding
- https://www.ckk-mc.be/online-dienste/meine-ckk
- https://www.cm.be/nl/lid-worden/je-bent-aangesloten-bij-een-ander-ziekenfonds
- https://www.mc.be/fr/services-en-ligne/affiliation-autre-mutualite
- https://www.ckk-mc.be/online-dienste/einschreibung-andere-krankenkasse
- https://www.cm.be/nl/toepassingen/communicatievoorkeuren-beheren
- https://www.mc.be/fr/services-en-ligne/preferences-de-communication
- https://www.ckk-mc.be/online-dienste/kommunikationspraeferenzen
- https://www.cm.be/nl/toepassingen/wat-kost-orthodontie
- https://www.cm.be/nl/toepassingen/mijn-cm-verzekeringen
- https://www.mc.be/fr/services-en-ligne/apercu-assurances
- https://www.ckk-mc.be/online-dienste/uebersicht-versicherungen
- https://www.cm.be/nl/domiciliering-zorgpremie-aanvragen
- Alle door de OWASP ASVS beschreven kwetsbaarheden.
- Kwetsbaarheden die leiden tot lekken van persoonlijke gegevens.
- Bruteforcing zolang dat er maximaal 5 requests per seconde uitgestuurd worden.
- Disruptieve of destructieve aanvallen (D/DOS, ...)
- Phishing-aanvallen
- Fysieke aanvallen (inbraak, omzeilen van fysieke toegangscontrole, ...)
- API key disclosure zonder bewezen business impact
- Self-XSS
- Verbose messages/files/directory listings zonder bewezen impact
- CORS misconfiguration
- Missing cookie flags met uitzondering van sessie gerelateerde cookie flags
- Missing security headers
- Cross-site request forgery zonder bewezen impact
- Autocomplete attributes op webforms
- Best practice violations (password complexity, expiration, re-use, etc.)
- Clickjacking
- E-mail spoofing, SPF, DMARC of DKIM
- E-mail bombing
- HTTP-request smuggling zonder bewezen impact
- Banner grabbing/version disclosure
- Open poorten zonder bewezen impact
- Zwakke SSL-configuraties en SSL/TLS-scan reports
- Disclosing API keys zonder bewezen impact
- Same-site scripting
- Arbitrary file upload zonder bewezen impact
- Blind SSRF zonder bewezen business impact
- Cookie information disclosure zonder bewezen impact
- HTML-injection zonder bewezen impact
Melden
Contacteer [email protected] met de info die nodig is om de kwetsbaarheid te reproduceren en de locatie waar je de kwetsbaarheid vond (url, domein, webpagina). Ons securityteam stuurt je een uitnodiging om de details verder te bespreken.
CM stuurt je binnen de 5 werkdagen na het rapporteren van een kwetsbaarheid een reactie en zal zo snel mogelijk de triage uitvoeren. Vervolgens wordt de kwetsbaarheid dagelijks opgevolgd totdat ze gemitigeerd en opnieuw getest is.
Beloning
- Alle risico's worden berekend aan de hand van de laatste versie van de CVSS-calculator. De beloning wordt op basis van het risico berekend en uitgereikt na de mitigatie van de kwetsbaarheid. Beloningen en risicoberekening kunnen aangepast worden door CM.
- Beloningen worden uitbetaald nadat de patch van de kwetsbaarheid is gevalideerd door de melder.
- Een beloning van een kwetsbaarheid is enkel van toepassing indien de kwetsbaarheid niet eerder gemeld is.
- Iedere persoon die een kwetsbaarheid ontdekt, heeft ook het recht om in de Hall of Fame opgenomen te worden.
- Werknemers of ex-werknemers (externen of internen) die in het laatste jaar gewerkt hebben voor CM-MC of voor leveranciers van CM-MC, komen niet in aanmerking voor beloningen.
Uitbetaling aan natuurlijke personen
Beloningen uitbetaald aan natuurlijke personen worden als nettobedragen uitbetaald.
Na de triage en selectie van een gevalideerde melding, neemt CM contact op met de melder en vraagt de nodige gegevens op voor de verdere verwerking van de beloning (na patching en retest). CM stelt dan ook een belasting fiche op en stuurt deze door naar de melder.
Uitbetaling aan rechtspersonen
Rechtspersonen kunnen na bevestiging van een geldige melding een factuur sturen naar het e-mailadres vermeld in de meldingsprocedure.
| Voornaam | Familienaam | Nickname | kritisch | hoog | medium |
|---|---|---|---|---|---|
| Robbe | Verwilghen | GrumpinouT | 0 | 0 | 2 |
|
|
| |||
| Je wordt alleen opgenomen in de Hall of Fame als je daar uitdrukkelijk toestemming voor geeft. Je kan die toestemming op elk moment weer intrekken. | |||||
