Responsible disclosure

English version below

Helaas moeten we het responsible disclosure programma de komende maanden grotendeels pauzeren wegens gepland groot onderhoud aan de website! Je mag nog fouten melden, maar we zullen voor nu geen dank kunnen geven niemand toe kunnen voegen aan de haal of fame.

Ondanks onze zorg voor de beveiliging kan het voorkomen dat er een zwakke plek in één van onze systemen zit. Als je een kwetsbaarheid hebt gevonden, horen we dit graag zodat we zo snel mogelijk de benodigde maatregelen kunnen treffen. Samen met jou werken wij graag aan continue beveiliging van onze systemen.

In de Regeling Responsible Disclosure staat hoe het melden van een ontdekte kwetsbaarheid werkt.

We accepteren meldingen van echte kwetsbaarheden in applicaties en/of systemen. Zaken als het gemis van RR's (SPF, CAA, DMARC e.d.) en security headers in websites (HSTS, Content-Security-Policy e.d.) worden niet geaccepteerd als melding. Deze zijn bij ons bekend en er wordt reeds aan gewerkt. Ook zullen we, bij een meervoudige melding, alleen de eerste daarvan accepteren.

Meld een responsible disclosure via het mailadres: responsible-disclosure@kivi.nl.

We willen iedereen bedanken die een kwetsbaarheid op een verantwoorde wijze heeft gemeld, via onze Hall of Fame.


Unfortunately, we have to suspend our repponsible disclosure program for the next months due to planned big maintenance on our website! You can still send in vulnarabilities, but for the time beeing we cannot give thanks or add someone to the hall of fame.

Despite our security efforts a weak spot might occur in one of our systems. If you have found a vulnerability, we would like to be informed as soon as possible in order for us to take appropriate measures. Together with you will we works on the continous security of our systems.

In the Responsible disclosure policy the procedure of reporting a vulnerability is described.

We accept reports of real vulnerability’s in applications or systems. Issues like a missing RR's (SPF, CAA, DMARC e.d.) and security headers in websites (HSTS, Content-Security-Policy e.d.) will not be accepted as a report. These issues are known to us and we are currently working to solve them. In case of multiple reports of the same type of vulnerability, only the first one wille be accepted.

Please report a vulnerability via: responsible-disclosure@kivi.nl.

We would like to thank everyone that has reported a vulnerability in a responsible way in our Hall of Fame.