De "McAfee Secure" en "Hacker Safe" certificeringen zijn boerenbedrog, aldus verschillende beveiligingsonderzoekers. Het Hacker Safe logo is al vaker onder vuur komen te liggen, toch heeft McAfee maar weinig van de kritiek aangetrokken, zo stelt Mike Bailey. Eerder werd bekend dat sites met het logo zo lek als een mandje zijn en de veiligheid van bezoekers in gevaar zou brengen. Zelfs de website van McAfee bleek lek te zijn. Vanwege het hoge boerenbedrog gehalte, werd de dienst van McAfee genomineerd voor een Pwnie award en wist die zelfs te winnen.
De beveiliger kwam na Hacker Safe met een nieuwe dienst genaamd McAfee Secure. Ook deze dienst is volgens de onderzoekers "Snake oil". Onderzoeker Russ McRee ontdekte op alle sites die dit stempel droegen cross-site scripting (XSS) lekken en ook het veel gevaarlijkere SQL-injectie kwam voor. De onderzoekers wisten een dump van de scans die McAfee uitvoert te bemachtigen, wat het scanproces duidelijk maakte. Daaruit blijkt dat de McAfee Secure certificering of PCI compliance niet wordt ingetrokken als de scan XSS aantreft.
Oplichting
McAfee nam contact op met Russ en beloofde dat het binnen twee a drie weken een standaard zou publiceren om aan de kritiek van de onderzoeker tegemoet te komen. Die belofte werd enige tijd geleden gedaan, toch is er niets opgeleverd. De informatie die de onderzoekers wel ontvingen stemt ze niet positief. McAfee Secure blijkt verschillende standaarden voor zakelijke en kleinere websites te gebruiken. Bij de laatste categorie is het niet verplicht om XSS te verhelpen en bij de zakelijke sites krijgt men ruim de tijd om het probleem op te lossen. In de tussentijd draagt de site wel het McAfee Secure logo. "Wat dit betekent is dat, voor een gebruiker die wil weten of een site betrouwbaar is, het McAfee Secure logo op een website precies betekent wat het nu doet: Absoluut niets."
"Ik veronderstel dat iedereen zijn eigen waardeloze certificeringen kan aanbieden, maar zoals Rafal gisteren opmerkte, getuigt het noemen van deze sites als 'McAfee Secure', 'Hacker Safe' of wat dan ook, op z'n best van slechte smaak en aan de andere kant van het spectrum als oplichting."
Volgens Bailey gebruikt McAfee de eigen naam om het vertrouwen van mensen die niets weten te misbruiken. Zo heeft het bedrijf een nieuwe shopping applicatie ontwikkeld, die consumenten met vertrouwen moet laten winkelen, maar die met XSS te maken heeft en geen SSL gebruikt. Verder genereert de software sessie ID's, zonder dat die op de site gebruikt worden. "Het demonstreert duidelijk dat ze niets begrijpen van webapplicatie beveiliging."
Deze posting is gelocked. Reageren is niet meer mogelijk.