Cyber Safety

Responsible disclosure

Ondanks onze zorg voor de beveiliging kan het voorkomen dat er een zwakke plek in één van onze systemen zit. Als je een kwetsbaarheid hebt gevonden, horen we dit graag. Dit zodat we zo snel mogelijk de benodigde maatregelen kunnen treffen. Samen met jou werken wij graag aan continue beveiliging van onze systemen.

In de procedure Responsible disclosure wordt beschreven hoe het melden van een ontdekte kwetsbaarheid werkt. 

We accepteren meldingen van echte kwetsbaarheden in applicaties en/of systemen. Zaken als het gemis van RR's (SPF, CAA e.d.) en security headers in websites (HSTS, Content-Security-Policy e.d.) worden niet geaccepteerd als melding. Deze zijn bij ons bekend en er wordt reeds aan gewerkt.

Het netwerk van de Universiteit Twente biedt ruimte aan studenten, verenigingen en startende bedrijven om hun website te hosten. Ondanks dat die sites zich dus op het netwerk van de universiteit bevinden, vallen ze niet onder de verantwoordelijkheid van de universiteit. Responsible disclosure meldingen over deze sites worden wel geaccepteerd. De meldingen worden doorgegeven aan de betreffende verantwoordelijke, maar daarna door de universiteit gesloten. Deze meldingen geven geen recht op vermelding in de Hall of Fame en er worden geen updates over de voortgang verstrekt.

Meld een responsible disclosure via het hiervoor bestemde mailadres: responsible-disclosure@utwente.nl.

We willen iedereen bedanken die een kwetsbaarheid op een verantwoorde wijze heeft gemeld, via onze Hall of Fame.