Bij Scholieren.com vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging kan het voorkomen dat er toch een zwakke plek is.
Als je een kwetsbaarheid in één van onze systemen hebt gevonden, stellen wij het zeer op prijs als je dit met ons deelt. Zo kunnen wij zo snel mogelijk maatregelen nemen om onze systemen én gebruikers te beschermen.
Wat we van je vragen
- Mail je bevindingen naar info@scholieren.com.
- Gebruik de kwetsbaarheid niet om meer data op te vragen dan nodig is voor de melding, of om toegang te krijgen tot gegevens van anderen.
- Deel de kwetsbaarheid niet met derden voordat deze is opgelost, en verwijder eventueel verkregen vertrouwelijke gegevens zodra het lek is gedicht.
- Voer geen aanvallen uit via fysieke beveiliging, social engineering, DDoS, spam of via applicaties van derden.
- Geef voldoende informatie om het probleem te reproduceren. Denk aan een IP-adres, URL en duidelijke omschrijving. Bij complexere bugs kan aanvullende uitleg nodig zijn.
Wat wij beloven
- Wij reageren binnen 3 werkdagen met een eerste beoordeling en een inschatting van de oplostijd.
- Zolang je je aan bovenstaande houdt, nemen wij geen juridische stappen tegen je.
- Wij behandelen je melding vertrouwelijk en delen je persoonsgegevens alleen als dat wettelijk noodzakelijk is (melden onder pseudoniem is mogelijk).
- Je wordt op de hoogte gehouden van de voortgang.
- Indien gewenst, vermelden we je naam als ontdekker in onze communicatie over het probleem.
Over beloningen
We krijgen geregeld meldingen van kleine onvolkomenheden via geautomatiseerde tools, vaak zonder context of serieus veiligheidsrisico. We noemen dit ‘bounty begging’ – en dat moedigen we niet aan.
Heb je een serieuze kwetsbaarheid gevonden en meld je die op een professionele en respectvolle manier? Dan waarderen we dat enorm. In plaats van een standaard geldbedrag bieden we liever iets dat bij ons past: bijvoorbeeld een LinkedIn-aanbeveling, samenwerking op projectbasis of – voor scholieren – een uitnodiging om eens stage te lopen of mee te werken aan onze techniek.
Wil je tóch liever een beloning in euro’s? Vermeld dit dan in je melding. Wij beoordelen dit per geval, op basis van de impact en de kwaliteit van je rapport.
Waarom geen Engelse versie?
Wij richten ons primair op een Nederlandstalig publiek. Ervaring leert dat Engelstalige versies vooral meldingen aantrekken van mensen die weinig affiniteit hebben met ons platform, maar wel hopen op een geldelijke beloning. Daar doen we niet aan mee.