Beveiligingsbedrijf Matasano heeft gisteren per ongeluk uitgebreide informatie over het zeer kritieke DNS-lek online gezet, het is al de tweede keer dat de onderzoekers met de kwestie de fout in gaan. De eerste keer was met de ernst van de kwetsbaarheid, die volgens onderzoeker Thomas Ptacek mee zou vallen. Na telefonisch contact met Dan Kaminksy die de DNS-kwetsbaarheid ontdekte, maakte hij publiekelijk zijn excuses en gaf iedereen het dringende advies om de DNS updates te installeren.

Gisteren kwam reverse engineer goeroe Halvar Flake met de onthulling van de details, waarop Matasano haar eigen verhaal publiceerde. En dat was niet afgesproken met Kaminsky. Het blog zou geen details prijsgeven tot Kaminsky zijn presentatie op de Blackhat Conferentie in Las Vegas had gegeven. De posting werd snel verwijderd en wederom werden er excuses aangeboden, maar de schade was toen al gedaan. De informatie die Matasano verwijderde is bijvoorbeeld op deze pagina te vinden.

De actie van Matasano, die ten opzichte van de voorgeschiedenis met Dan Kaminsky begrijpelijk doch slordig is, heeft wel de discussie aangezwengeld in hoeverre beveiligingsonderzoekers informatie over kwetsbaarheden moeten achterhouden, terwijl ze wel "lege advisories" verspreiden. "Patch now ask questions later" valt niet bij iedereen in goede aarde.

"De rode draad in dit verhaal is dat als we het geheim houden, we aanvallen voorkomen, wat op twee punten niet klopt. De bad guys gebruiken dit al waarschijnlijk en het schept een moreel gevaar dat ons allemaal kan beschadigen. We hebben het recht om geïnformeerde beslissingen te maken. Het hele proces achter het verantwoordelijk onthullen van het lek, en de meeste lekken vandaag de dag, beïnvloeden dat doel," aldus Rudd-O.