Regeling Responsible Disclosure Koninklijk Instituut van Ingenieurs

Helaas moeten we het responsible disclosure programma de komende maanden VOLLEDIG pauzeren wegens gepland groot onderhoud aan de website! Je mag nog fouten melden, maar we zullen voor nu geen reactie geven of iemand toevoegen aan de hall of fame en zullen dat ook niet later alsnog doen voor meldingen ingestuurd na 9 juni 2024. Wanneer we het programma weer opstarten, nemen we alleen NIEUWE meldingen in behandeling.

Unfortunately, we have to TOTALLY suspend our repponsible disclosure program for the next months due to planned big maintenance on our website! You can still send in vulnarabilities, but for the time beeing we will NOT GIVE A REACTION IN ANY WAY OR ADD SOMEONE TO THE HALL OF FAME and we will not do so later for send in vulnerabilities after of 9th of June 2024.  When we restart the program, we will only accept NEW / then current vulnerabilites.

English version below


Bij het Koninklijk Instituut Van Ingenieurs (KIVI) vinden wij de veiligheid van jouw en onze gegevens erg belangrijk, daarom beveiligen wij onze systemen. Ondanks onze zorg kan het voorkomen dat er toch een zwakke plek is in deze beveiliging.

Heb je een zwakke plek in één van onze systemen gevonden, dan horen wij dit graag, zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met jou samenwerken om onze gebruikers en systemen beter te kunnen beschermen.

Wij vragen jou:

  • Geen aanvallen uit te voeren op fysieke beveiliging en mensen (social engineering).
  • Geen gebruik te maken van Distributed Denial of Service (DDos) aanvallen of spam.
  • Meldingen van kwetsbaarheden eenmalig te doen ook al komt dezelfde kwetsbaarheid op verschillende plaatsen in het systeem voor.
  • Je bevindingen te mailen naar Melden onder een pseudoniem is mogelijk. Indien je vindt dat de gegevens zo gevoelig zijn dat je ze wenst te versleutelen, verzoeken we je dat te melden. We zorgen er dan voor dat je een adres krijgt waar je PGP-versleutelde mail naar toe kunt sturen (PGP-public key).
  • Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, bij complexere kwetsbaarheden is meer info nodig. Wij vragen je daarbij wel om, naast eventuele bijgesloten plaatjes en/of animaties, op z'n minst de URL of, als deze niet van toepassing is, het IP adres van het getroffen systeem duidelijk in de normale tekst te vermelden.
  • Alle vertrouwelijke gegevens die zijn verkregen via het lek zo snel mogelijk na het doorgeven van je melding te verwijderen, maar altijd na afstemming met ons om er zeker van te zijn dat wij het probleem kunnen reproduceren.
  • Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen, of gegevens van derden in te kijken, te verwijderen of aan te passen.
  • Het probleem niet met anderen te delen totdat het is opgelost.
  • Onze URL's, IP-adressen of contact informatie niet te delen op enig social media, forum, instant messegers of een ander publiek medium totdat het is opgelost. 
  • Niet zelf over het opgeloste probleem te publiceren tenzij dit vooraf met ons is afgestemd.

Wat bij beloven:

  • Wij vinden het belangrijk dat kwetsbaarheden zo snel mogelijk aan ons worden gemeld, zodat wij direct actie kunnen ondernemen om onze omgeving weer veilig te maken. Meldingen worden daarom door ons altijd in dank aanvaard. Wij zullen dan ook geen juridische stappen overwegen naar melders die zich ongeautoriseerd toegang hebben verschaft tot gevoelige informatie, mits je je hebt gehouden aan bovenstaande punten.
  • Wij behandelen je melding vertrouwelijk en zullen jouw persoonlijke gegevens niet zonder je toestemming met derden delen tenzij dat noodzakelijk is om aan een wettelijke verplichting te voldoen.
  • Wij reageren binnen 25 werkdagen op je melding met onze beoordeling van de melding en een verwachte datum voor een oplossing. Let hierbij op dat aandringen op antwoord voor die tijd kan resulteren in vervallen van je claim.
  • Wij houden je op de hoogte van de voortgang van het oplossen van het probleem.
  • Indien je de eerste melder bent van een kwetsbaarheid en als je er prijs op stelt nemen we jou op als melder in de Hall of Fame, indien gewenst kan dit ook onder pseudoniem.
  • Relevante inhoud van de opgeloste melding kunnen we publiceren op, tenzij er redenen zijn om dit niet te doen. Bijvoorbeeld wanneer de oplossing heeft geleid tot (ontdekking van) een gerelateerde kwetsbaarheid die nog niet is opgelost, of wanneer de publicatie kan leiden tot imagoschade voor (een onderdeel van) KIVI.
  • In berichtgeving over het opgeloste probleem zullen wij, indien je dit wenst, je naam vermelden als de ontdekker en melder.
  • Indien je de eerste melder bent van een kwetsbaarheid ontvang je, als je binnen de EU woont, een relatiegeschenk van KIVI. WIj geven nooit geld. Opsturen van relatiegeschenken buiten de EU is helaas niet mogelijk (behoudens een zeer bijzondere uitzondering) vanwege alle regelingen die we daarvoor met de douane zouden moeten treffen.

Wij streven er naar alle gemelde problemen zo goed en snel mogelijk op te lossen. Dank je wel!

Responsible Disclosure Policy Royal Netherlands Society of Engineers (KIVI)


At the Royal Netherlands Society of Engineers (KIVI) we care about your and our digital safety and about the safety of our data and systems, therefore we secure our systems. Despite our efforts a weak spot in our systems might occur.

If you find a vulnerability in one of our sytems, you are more than welcome to report this, in order for us to take measures as soon as possible. We would like to cooperate with you in order to protect our users, data and systems in a better way.

We ask you:

  • Not to attack physical security systems or persons (social engineering).
  • Not to use Distributed Denial of Service (DDos) attacks or spam.
  • Only report vulnerabilities once even if the vulnerability appears several times in our systems.
  • To email your findings to Reports using a pseudonym is possible. If you have the impression the report contains very sensitive information and to wish to encrypt, please use the PGP-key (link) to encrypt your message.
  • To provide us with sufficient information in order for us to reproduce and solve the problem as quickly as possible. Often an IP adress or the URL of the effected system and a descripton of the vulnerability will be sufficient, with complex vulnerabilities more information is needed. We ask you to put the URL of the effected system ,or the IP address if an URL idoes not apply, in plain text in the message and not only in included screenshots and/or animations.
  • To delete all confidential data that are obtained via the leak as quickly as possible after having reported the vulnerability, but always in consultation with us so that we can reproduce the problem.
  • No to misuse the problem by for example downloading more data than necessary to show the leak, or look into, delete or adjust data.
  • Not to share the problem with others until it is solved.
  • Not to share our URL's, IP adresses or contact information on any social media, forums, instant messagers or any onther kind of public media ontil the problem has been solved.
  • Not to publish the solved vulnerability unless you have gotten our prior permision.

We promise you:

  • We find it important that vulnerabilities are reported to us as quickly as possible, in order for us to take appropriate actions to secure the safelty of our digital environment. Reports will therefore be accepted with thankfullness. We will not consider to persue legal measures to reporters that have unauthorized access to sensitive information, if you have followed the above guidelines.
  • We will treat your report in a confidential way and will not share your personal details, without your prior permission with third parties unless this is necessary to comply with legal obligations.
  • We react within 25 work days to your report with our assessment of the report and an estimated date for the solution. Mind you that urging for an answer before that time might result in voiding your claim.
  • We keep you posted on the progress in solving the problem.
  • If you are the first reporter of a vulnerability and if you appreciate it, we will mention you as a reporter in our Hall of Fame, if you want we can use a pseudonym.
  • Relevant content of the solved issue could be published on, unless there are reasons not to do so. For example if the solution has led tot he discovery of a related vulnerability that has not been solved yet, or if the publication can lead to damage of the image of (a part of ) KIVI.
  • In messages about the solved vulnerability we will, if you wish, mention your name as the reporter of the vulnerability.
  • If you are the first reporter of a vulnerability and you live in the EU, you will receive a gift from KIVI. We do not give money. Sending gifts outside the EU will unfortunately not be possible (unless for a very special exception) due to all arrangements we need to make with costums for this..

Our aim is to solve all reports as fast and as good as we possibly can. Thank you !








