Mercier Van Lanschot Logo
Contact
Onze tool

Meldpunt voor kwetsbaarheden

Help ons de veiligheid van onze digitale dienstverlening te verbeteren. Heeft u mogelijke zwakke plekken gedetecteerd in onze app of digitale platformen? Lees dan hier hoe u uw bevindingen aan ons kunt melden.

Responsible disclosure-beleid

Elke dag werken specialisten bij Mercier Van Lanschot aan het verbeteren van onze systemen en processen, zodat de gegevens van onze klanten beschermd worden tegen misbruik. Dat neemt echter niet weg dat zich ook in onze systemen kwetsbaarheden kunnen voordoen.

 

Wie kan melding maken van een kwetsbaarheid?

Iedereen die een mogelijke zwakke plek in de systemen van Mercier Van Lanschot heeft ontdekt.

 

Wat is de scope?

Enkel de volgende domeinen (en alle onderliggende subdomeinen) vallen onder het responsible disclosure-programma:

  • vanlanschot.com
  • vanlanschot.nl
  • vanlanschot.be

 

Welke kwetsbaarheden kunt u melden?

U kunt problemen melden die gaan over de veiligheid van de diensten die Mercier Van Lanschot aanbiedt via het internet. Voorbeelden van kwetsbaarheden die gemeld kunnen worden zijn:

  • Remote Code execution
  • Cross Site Scripting (XSS)-kwetsbaarheden
  • Cross Site Request Forgery (CSRF)-kwetsbaarheden
  • SQL-injectiekwetsbaarheden
  • Kwetsbaarheden met betrekking tot encryptie
  • Ongeautoriseerde toegang tot gegevens
  • Uitsluitingen
  • Alle meldingen zonder een duidelijk rapport met het bewijs van mogelijke exploitatie
  • Issues met betrekking tot SPF / DKIM / DMARC records
  • Fingerprinting/versie banner disclosure op algemene/publieke services
  • Publiek toegankelijke bestanden en mappen met niet gevoelige informatie (bijvoorbeeld robots.txt)
  • Aanwezigheid van ‘autocomplete’- of ‘save password’-functionaliteit
  • Cross Site Request Forgery (CSRF) kwetsbaarheden op statische pagina’s en logout-functionaliteit
  • Bruteforce op ‘Wachtwoord vergeten’-pagina’s
  • Redirection van HTTP naar HTTPS
  • HTTP OPTIONS enabled
  • Host Header Injection
  • Ontbreken van HTTP Security Headers zoals: Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, Content-Security-Policy, X-Content
  • Security-Policy, X-WebKit-CSP
  • HTML does not specify charset
  • HTML uses unrecognized charset
  • Ontbreken van ‘Secure’ / ‘HTTP Only’ vlaggen op niet gevoelige cookies
  • Clickjacking gerelateerde issues
  • User enumeration op websites waar geen online betaaltransacties aanwezig zijn
  • Mogelijk verouderde server- of applicatieversies (van externe partijen) zonder bewijs dat deze versies kwetsbaar zijn en bewijs van exploitatie.
  • Rapporten van onveilige SSL-/ TLS-protocollen en andere misconfiguraties
  • Generieke kwetsbaarheden gerelateerd aan software of protocollen die niet onder controle van Mercier Van Lanschot vallen
  • Distributed Denial of Service (DDoS) aanvallen
  • Spam- of Social Engineering-technieken
  • Rapporten van reguliere scans, zoals poortscanners

 

Hebt u een kwetsbaarheid gevonden?

  • Neem zo snel mogelijk contact op via e-mail: responsibledisclosure@vanlanschot.com.
  • Beschrijf het gevonden probleem zo uitgebreid mogelijk. Aangezien uw melding door specialisten wordt ontvangen, kunt u technisch jargon gebruiken waar nodig.
  • Kies ervoor om uw contactgegevens (naam en telefoonnummer) toe te voegen of doe uw melding geheel anoniem. 

 

Wat doen we met uw melding?

Een team van beveiligingsexperts onderzoekt uw melding en geeft binnen de twee werkdagen een eerste reactie. Maak het probleem in de tussentijd niet publiek, maar praat met onze experts en geef hen de tijd om het probleem op te lossen. Wij laten u weten wat we van uw melding vinden, of we een oplossing zullen toepassen en wanneer we dat doen.

 

Beloning

Als dank ontvangt u een passende vergoeding voor de kwetsbaarheden die we daadwerkelijk hebben verholpen of tot een optimalisatie van de dienstverlening hebben geleid. Wij beslissen of uw melding hiervoor in aanmerking komt, alsook de hoogte van de vergoeding. In het geval dat u in aanmerking komt voor een beloning, zullen wij uw persoonlijke gegevens nodig hebben om de betaling uit te voeren.

 

Let op: U kunt een kwetsbaarheid ook anoniem melden. Weet echter dat we dan geen afspraken met u kunnen maken over de opvolging van uw melding, over een eventuele beloning en/of over het al dan niet doen van een aangifte (zie ‘Wat zijn de spelregels?’).

 

Wat zijn de spelregels?

Bij het onderzoeken van de kwetsbaarheid, zou u handelingen kunnen verrichten die strafbaar zijn. Als u te goeder trouw, zorgvuldig en volgens de aangegeven spelregels gehandeld hebt, is er voor de bank geen aanleiding om aangifte te doen. De volgende regels zijn van toepassing:

  • Zorg ervoor dat u met de gevonden kwetsbaarheid geen schade aanricht. In geen geval mag uw handelen leiden tot een opzettelijke onderbreking van de dienstverlening of een openbaarmaking van bank- of klantgegevens.
  • Maak geen gebruik van social engineering om toegang te verkrijgen tot een van onze systemen.
  • Gebruik geen geautomatiseerde scanners om kwetsbaarheden te vinden (zoals Burp Suite Scanner, Acunetix, etc).
  • Plaats geen backdoor in een informatiesysteem om vervolgens de kwetsbaarheid aan te tonen, aangezien daarmee aanvullende schade kan worden aangericht en onnodige veiligheidsrisico’s worden gelopen.
  • Maak minimaal gebruik van een kwetsbaarheid en doe alleen datgene wat effectief noodzakelijk is om de kwetsbaarheid vast te stellen.
  • Wijzig of verwijder geen enkel gegeven van het systeem en wees zo terughoudend mogelijk met het kopiëren van gegevens (als één record genoeg is om het probleem aan te tonen, ga dan niet verder).
  • Breng geen systeemveranderingen aan.
  • Probeer niet herhaaldelijk toegang tot een systeem te verkrijgen en deel de verkregen toegang niet met anderen.
  • Gebruik geen bruteforce om toegang tot onze systemen te verkrijgen. Er is dan immers geen sprake van een kwetsbaarheid, maar alleen van het herhaaldelijk proberen van wachtwoorden.
  • Een beloning zal alleen worden toegekend aan de eerste melder van de kwetsbaarheid.

 

Wat niet melden?

Het meldpunt responsibledisclosure@vanlanschot.com is niet bedoeld voor het:

  • indienen van klachten over de dienstverlening van Mercier Van Lanschot
  • melden van fraude of vermoeden van fraude
  • melden van nepmails of phishing e-mails
  • melden van virussen
  • indienen van klachten of vragen over de beschikbaarheid van de internetdiensten van Mercier Van Lanschot
  • melden van problemen met geldautomaten

 

Wilt u een klacht indienen over de dienstverlening van Mercier Van Lanschot? Kijk dan bij Niet tevreden. Wilt u een van de andere bovenstaande zaken melden? Dan helpt Mercier Van Lanschot Client Services u graag verder.

 

Wij respecteren uw privacy

Voor de verdere opvolging van de melding kunt u ervoor kiezen om uw contactgegevens (naam, e-mail en eventueel telefoonnummer) aan ons te verstrekken. Het spreekt voor zich dat we zorgvuldig omspringen met uw persoonsgegevens. In ons Privacy Statement leest u daar meer over.

 

Overige voorwaarden

Met betrekking tot internetveiligheid en privacy is de Belgische wetgeving van toepassing. We nemen alleen meldingen aan die in het Nederlands of Engels zijn opgesteld. Voor de uitkering van beloningen hebben wij uw persoonsgegevens nodig. Mochten meerdere melders tegelijkertijd dezelfde bevinding melden, dan krijgt enkel de eerste melder de vergoeding.

 

Investing together