Bug Hunt

De VUB neemt het beschermen van data en privacy zeer ernstig. Uw input en feedback over potentiële veiligheidsproblemen is zeer welkom.

Mocht U tijdens het normale gebruik van de VUB infrastructuur en/of programma’s een veiligheidsprobleem detecteren, vragen wij U om deze niet openbaar te maken zonder expliciete toestemming van de VUB CIO of CISO. U kan potentiële veiligheidsproblemen rapporteren via Service Now of via helpdesk@vub.be.

Gelieve hierbij volgende informatie mee te geven:

  • Stappen om het probleem te herproduceren;
  • Indien relevant, een screenshot van de resulterende fout;
  • Indien gekend, de oorzaak van het probleem;
  • Uw naam zoals U het, indien door U gewenst, na validatie toegevoegd wil zien aan de DICT `bijdragers tot VUB veiligheid´;
  • Geprefereerde methode om U te contacteren.

Elke gerapporteerde veiligheidsprobleem zal door de VUB diensten onderzocht worden op validiteit en potentiële impact, en een prioriteit toegewezen krijgen.

De VUB heeft een Bug Hunt Programma. Dit staat uitsluitend open voor VUB-studenten en is er op gericht om de beveiliging van de VUB applicaties te verbeteren, dit door de veiligheid op een verantwoorde wijze te testen. Door deel te nemen aan dit Bug Hunt Programma stemt U in met de onderstaande regels:

  • Probeer niet om toegang te krijgen tot persoonsgegevens of andere data, of deze te wijzigen (vernietiging of openbaarmaking van gegevens vormen een misdrijf!);
  • Maak geen kwetsbaarheden bekend voordat deze volledig zijn opgelost:
  • Voer geen tests uit die het normaal functioneren van de applicatie verstoren;
  • Gebruik geen geautomatiseerde tools;
  • Kwetsbaarheden moeten onmiddellijk gemeld worden via bovenstaande procedure.

Dit programma is gelimiteerd tot VUB applicaties die zich op VUB infrastructuur bevinden.

Bijdragers tot de VUB veiligheid

  • 24-jan-2017 – Student (naam gekend) – Pointcaré kwetsbaarheid
  • 16-jan-2017 – Student (naam gekend) – Server ‘mini’ (FTP-toegang) kwetsbaarheid
  • 16-jan-2017 – Student (naam gekend) – Pointcaré kwetsbaarheid

Uiteraard wordt voor veiligheidsredenen geen details over de gerapporteerde kwetsbaarheid gegeven. ‘Student (naam gekend)’ duid aan dat de student geen uitdrukkelijke toestemming heeft gegeven om zijn naam hier te vermelden.