Meldpunt beveiligingslekken

Heb je een beveiligingslek ontdekt bij Ziggo? Veilig gebruik van onze diensten en bescherming van gegevens en privacy zijn zeer belangrijk voor ons. We ontwikkelen al onze producten en diensten met een scherp oog op veiligheid en privacy. Maar we kunnen dingen over het hoofd zien die jij misschien wel ziet. Als je denkt dat je een zwakke plek in een van onze diensten hebt gevonden, dan verzoeken we je deze informatie met ons te delen. Met jouw hulp zullen we de zwakke plek zo snel mogelijk herstellen.

Over het meldpunt

Hoe kunnen we elkaar helpen?

Je kunt problemen melden over de veiligheid van diensten die Ziggo aanbiedt. Heb je een probleem of zwakke plek gevonden? Meld dit ons dan zo snel mogelijk.

Voorbeelden van beveiligingslekken die je kunt melden:

  • cross-site-scripting-kwetsbaarheden
  • SQL-injectie-kwetsbaarheden
  • encryptie-zwakheden

Wat is belangrijk?

Zorg ervoor dat je tijdens het onderzoeken van het gevonden beveiligingslek geen schade aanricht. In geen geval mag je onderzoek tot onderbreking van de dienstverlening leiden of tot openbaarmaking van bank- of klantgegevens.

Waar helpt het meldpunt je niet bij?

Het meldpunt is niet bedoeld voor het:

  • indienen van klachten over de dienstverlening
  • doen van fraudemeldingen en/of vermoedens van fraudemeldingen van nepmails of phishing e-mails
  • melden van virussen
  • indienen van klachten of vragen over de beschikbaarheid van ziggo.nl.

Hiervoor kun je contact opnemen met onze Klantenservice.

Wat doen we met je melding?

Een team van beveiligingsexperts onderzoekt je melding en geeft binnen twee dagen een eerste reactie. We vragen je om het probleem niet publiek te maken, maar alleen met onze experts te delen. We informeren je over de beoordeling van de melding door onze beveiligingsexperts, de mogelijke oplossing en de oplostijd.

Spelregels

Bij het onderzoek zou je mogelijk handelingen kunnen verrichten die strafbaar zijn. Volg daarom de regels zoals opgenomen in onze Responsible Disclosure-regeling en handel daarnaast proportioneel:

  • Maak geen gebruik van ‘social engineering’ om toegang te verkrijgen tot een systeem.
  • Plaats geen backdoor in een informatiesysteem om vervolgens daarmee het beveiligingslek aan te tonen, aangezien daarmee aanvullende schade kan worden aangericht en onnodige veiligheidsrisico’s worden gelopen.
  • Maak minimaal gebruik van een beveiligingslek. Doe alleen datgene wat noodzakelijk is om het beveiligingslek vast te stellen.
  • Wijzig of verwijder geen enkel gegeven van het systeem en wees zo terughoudend mogelijk met het kopiëren van gegevens (als één record genoeg is om het probleem aan te tonen, ga dan niet verder).
  • Breng geen systeemveranderingen aan.
  • Probeer niet herhaaldelijk toegang tot het systeem te verkrijgen en deel de verkregen toegang niet met anderen.
  • Gebruik geen zogeheten 'brute force' om toegang tot systemen te verkrijgen. Daarbij is immers geen sprake van een beveiligingslek, maar alleen van het herhaaldelijk proberen van wachtwoorden.

Een melding doen

Hoe maak je melding van een beveiligingslek?

Meld het beveiligingslek (of het vermoeden daarvan) aan het Security Team van Ziggo. Beschrijf in de e-mail de volgende punten:

  • een uitgebreide beschrijving van het probleem
  • IP-adressen, logs en screenshots
  • aanwijzingen hoe het voorval te reproduceren is

Stuur dit bij voorkeur door middel van een versleutelde e-mail naar security@ziggo.nl. Gebruik hiervoor deze PGP-key (ZIP, 2 kB).

Hex: 4B82 E6F7 EC2C AB69 6427 E9C9 ABFB E96F 53C3 C56B

Privacy

Privacy: doe je de melding niet anoniem dan zullen we je als het nodig is vragen om je contactgegevens. We geven zonder je instemming je identiteit niet vrij aan derden en gebruiken je gegevens alleen om opvolging te geven aan je melding.

Overige voorwaarden: we kunnen alleen meldingen aannemen die in het Nederlands of Engels opgesteld zijn. Voor de uitkering van beloningen hebben we je persoonsgegevens nodig.

Gedragscode Responsible Disclosure (PDF - 100 kB). Deze responsible-disclosure-regeling is tot stand gekomen in overleg met het Nationaal Cyber Security Centrum en de securitygemeenschap in Nederland.

Overzicht meldingen

Meldingen

Overzicht van de meldingen vanaf juli 2013:

Oktober 2015 Shoulder surfing bij externe partijen. Het bleek mogelijk wachtwoorden te lezen in bestanden die door externe partijen gebruikt worden om in te loggen op Ziggo systemen. Er is een verbetertraject opgestart om partners bewust te maken hoe er met gevoelige informatie zoals wachtwoorden moet worden omgegaan. Beloning niet van toepassing. 
Juni
2015
Kwetsbaarheid in de wachtwoord reset procedure van Mijn Ziggo. De procedure is aangepast. Beloning niet van toepassing.
April
2015
Kwetsbaarheid gevonden door de Radboud universiteit die het mogelijk maakt om de standaard wachtwoorden behorend bij de UPC SID (UPC00xxxx SID) te raden. Om deze adviseren wij klanten om altijd een eigen wifi wachtwoord in te stellen. Beloning niet van toepassing.
Maart 2015 Diverse kwetsbaarheden in ziggohome.ziggo.nl. Het betrof een oude pagina en deze is inmiddels uitgefaseerd. Gemeld door HackEx, beloning niet van toepassing.
Maart 2015 Routing-probleem (IPv4), test interface meting-issue. Fix ontwikkeld, getest en doorgezet in productie. Anoniem gemeld, beloning niet van toepassing.
Maart 2015 Probleem met mixed content op ziggo.tv. Fix ontwikkeld, getest en doorgezet in productie. Anoniem gemeld, beloning niet van toepassing.
Februari 2015 Open redirect-kwetsbaarheid op login.ziggo.nl. Fix is ontwikkeld, getest en doorgezet in productie. Anoniem gemeld, beloning niet van toepassing.
Januari 2015 XSS kwetsbaarheden in zes Ziggo sites. Twee van deze sites zijn offline gezet, op de andere vier sites zijn de kwetsbaarheden opgelost.
Beloning niet van toepassing.
Januari 2015 Verbeterpunten aangedragen met betrekking tot proces uitlevering Ziggo modems en activatie portal. Anoniem gemeld, beloning niet van toepassing.
Oktober 2014
 
Kwetsbaarheid OpenSSL library en encryptie-algoritme in Ziggo TV app (versie 3.2.1) voor Android. Fix ontwikkeld, getest en doorgezet in productie. Gemeld door FireEye, beloning niet van toepassing.
September 2014
 
Denial of service attack-kwetsbaarheid gevonden in Ubee EVW320b modem. Fix ontwikkeld, getest en doorgezet in productie. Anoniem gemeld, beloning niet van toepassing.
September 2014
 
Diverse kwetsbaarheden (open redirect, information disclosures, XSS) gevonden op ziggo.nl. Fix ontwikkeld, getest en doorgezet in productie. Anoniem gemeld, beloning niet van toepassing.
Juni 2014 Er worden, zogenaamd namens Ziggo, e-mails en brieven verstuurd waarin de ontvanger gevraagd wordt € 29,95 te betalen. Gebeurt dit volgens de tekst niet, dan staat er binnenkort een deurwaarder op de stoep. Advies: raak niet in paniek door de dreigende toon van de mail of brief. Oplichters willen er op die manier voor zorgen dat de ontvanger snel actie onderneemt. Ziggo heeft ondertussen het bankrekeningnummer uit de valse mail of brief al laten blokkeren. Als je twijfelt over een factuur, neem dan contact op met onze Klantenservice. Heb je ook een frauduleuze mail ontvangen? Stuur het door naar valse-email@fraudehelpdesk.nl en gooi de mail daarna weg.
Mei 2014 Kwetsbaarheid gevonden in Ubee EVW320b wifi DOCSIS modem. Onderzoeker heeft demonstratie gegeven van kwetsbaarheid. Ziggo heeft fix ontwikkeld, getest en doorgezet in productie. Gevonden door Patrick Uiterwijk, beloond met mobiele Bluetooth speaker. Zie blogpost.
April 2014 Een botnet dat de afgelopen maanden 18 miljoen e-mailadressen en wachtwoorden van Duitsers stal, heeft ook inloggegevens van Nederlanders buitgemaakt, waaronder die van Ziggo klanten. Ziggo heeft alle klanten die getroffen zijn in een brief gewaarschuwd dat hackers toegang hebben gehad tot hun mailaccounts. Het gaat om e-mailadressen en hoogstwaarschijnlijk ook om de bijbehorende wachtwoorden. Die gegevens zijn voor zover bekend verouderd, maar nog wel te gebruiken als ze de afgelopen tijd niet zijn bijgewerkt. Het is onbekend hoe de gegevens van Ziggo klanten via het botnet precies zijn buitgemaakt. Hackers hebben in ieder geval niet direct via de servers en databases van Ziggo toegang tot de accounts gekregen. Ziggo adviseert klanten om hun wachtwoorden te wijzigen. Via https://www.sicherheitstest.bsi.de/index_en kan iedereen controleren of zijn e-mailadres zich bij de 18 miljoen gehackte adressen bevindt.
Februari 2014 Er is een nep-site met url www.ziggo-shop.nl. De site doet zich voor als Ziggo, verkoopt producten, maar levert deze niet af. Notice and Take Down-verzoek gedaan; eerste poging succesvol. Nu wordt echter gebruik gemaakt van een provider in Panama die enige vorm van samenwerking weigert. Site weer actief. Ziggo heeft aangifte gedaan bij Justitie. We zullen dit blijven monitoren.
Februari 2014 XSS-kwetsbaarheid ZiggoZakelijk.nl Fix ontwikkeld, getest en doorgezet in productie. Gemeld door anoniem, beloning niet van toepassing.
Februari 2014 Melding mogelijke ontvreemding NAW-gegevens klanten (aantal niet te verifiëren) door anoniem. Melder beweert oud-medewerker te zijn van externe partner Ziggo. Melder heeft geen gebruik willen maken van regeling responsible disclosure. Intern onderzoek opgestart, geen verificatie van ontvreemding, anonieme melder heeft contact verbroken. Beloning niet van toepassing.
December 2013 XSS-kwetsbaarheid Ziggo.nl Fix ontwikkeld, getest en doorgezet in productie. Gemeld door anoniem, beloning niet van toepassing.
November 2013 Kwetsbaarheid in inlogmechanisme Ziggo TV app. Demonstratie van kwetsbaarheid door onderzoekers. Oplossing: projectteam heeft redesign gemaakt van inlogmechanisme. Gemeld door anoniem, beloning niet van toepassing.
November 2013 Open redirect, Cross-site request forgery (CSRF), JavaScript en XSS-kwetsbaarheid op MijnZiggo pagina. Melding gereproduceerd met hulp melder. Fix ontwikkeld, getest en doorgezet in productie. Gemeld door anoniem, beloning niet van toepassing.
Oktober 2013 XSS-kwetsbaarheid in JWPlayer op static.ziggo.nl Fix ontwikkeld, getest en doorgezet in productie. Gemeld door anoniem, beloning niet van toepassing.
September 2013 Cross Site Scripting (XSS), ClickJacking en JW Player-kwetsbaarheden op ziggo.nl. Melding gereproduceerd met hulp melder. Fix ontwikkeld, getest en doorgezet in productie. Gemeld door anoniem, beloning niet van toepassing.
Augustus 2013 Kwetsbaarheid in authenticatiemechanisme (certificaatvalidatie) Ziggo WifiSpots. Oplossing: aanscherpen inlogprocedure. Gemeld door anoniem, beloond met VVV-bon.
Juli 2013 Kwetsbaarheid in authenticatiemechanisme (PEAP-MS-CHAPv2) Ziggo WifiSpots. Proof-of-Concept gedemonstreerd aan specialisten. Oplossing: aanscherpen inlogtechniek en -procedure. Gevonden door Kadir Altan, beloond met kaartjes voor ZiggoDome.
 
 

Kom je er niet uit?

Neem dan contact met ons op.

Contact met Ziggo