Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Rapporteren van een hack
08-07-2012, 11:10 door Anoniem, 15 reacties
Hallo
een etische vraag, ik ben er achter gekomen dat een website zijn inlog gegevens niet goed bewaard. De users staan niet geencrypt in de database en via sql injectie is alles op te vragen.
Nu wil ik dat graag rapporteren maar hier achter komen is natuurlijk al strafbaar.
Wat kan je dan het beste doen? jezelf exposen zodat de klpd voor de deur staat of het melden in de hoop dat ze niet de politie bellen.
Niets doen lijkt me ook niet handig.
mvg
een etische vraag, ik ben er achter gekomen dat een website zijn inlog gegevens niet goed bewaard. De users staan niet geencrypt in de database en via sql injectie is alles op te vragen.
Nu wil ik dat graag rapporteren maar hier achter komen is natuurlijk al strafbaar.
Wat kan je dan het beste doen? jezelf exposen zodat de klpd voor de deur staat of het melden in de hoop dat ze niet de politie bellen.
Niets doen lijkt me ook niet handig.
mvg
Reacties (15)
09-07-2012, 09:46 door
User2048
Je kunt het melden bij de eigenaar van de website met een anoniem telefoontje (dus caller-id uitschakelen!) of een anonieme brief.
09-07-2012, 10:44 door
WhizzMan
Een andere optie is om het via een journalist te doen. Dat betekent vaak dat uiteindelijk de journalist iets gaat publiceren over de kwetsbaarheid. Kies daarom een journalist die je vertrouwt (lastig, persmuskieten) en maak duidelijke afspraken wat je wel en niet wilt dat er gepubliceerd wordt en dergelijke, voordat je de gegevens aan de journalist geeft. De journalist heeft bronbescherming en zal als het goed is niet vertellen waar hij de informatie vandaan heeft.
Ik heb hier zeeeeeer veel ervaring mee.
Mijn advies; neem contect op met Brenno de Winter en brand hier absoluut zelf je handen niet aan.
Als je echte naam bekend word dan zul je nooit meer aangenomen worden voor security werk bij onze overheid is mijn ervaring
Mijn advies; neem contect op met Brenno de Winter en brand hier absoluut zelf je handen niet aan.
Als je echte naam bekend word dan zul je nooit meer aangenomen worden voor security werk bij onze overheid is mijn ervaring
Ik zou nooit bellen, en al helemaal geen journalist vertrouwen.
Het gaat er een beetje om, hoe groot en belangrijk de db is die je hebt bezocht, van wat voor soort website deze is, en hoeveel je daadwerkelijk hebt gedownload.
Het ALLERBELANGRIJKSTE is dat je geen enkele vorm van vergoeding vraagt.
Geen geld, geen eer (daarom dus ook geen journalist), geen privileges, niets.
Dan zal geen enkele officier van justitie je lastig vallen, laat staan dat een rechter je veroordeeld of uitlevert, indien van toepassing.
Anoniem blijven werkt over het algemeen het beste door vanuit een internet-café een geanonimiseerd mailtje te sturen via http://anonymouse.org/anonemail.html bijvoorbeeld. Overigens kunnen daar geen bijlages worden meegezonden (die zijn namelijk mogelijk weer te traceren), maar je kunt een deel van de db gewoon in plain-text kopiëren. Ook kun je natuurlijk geen antwoord ontvangen, maak daarvoor een apart adres aan op mail.com bijvoorbeeld (wees dan wel beducht op bijlage's / persoonlijke veld-invullingen bij aanmelden, IP-tracing etc.). Dus nooit thuis, nooit op een eigen pc, en nooit bestanden uploaden / downloaden, want copy-paste in platte text werkt prima.
Ik ga er vanuit dat je geen financiële instelling, webwinkel, social media of andere grote website hebt gehackt, is dit wel het geval, dan zijn er nog wel wat meer dingen die je ter overweging kunt nemen, maar dat zien we dan wel weer :p
Laat nog even weten hoe het afloopt als je wil! \0/
Het gaat er een beetje om, hoe groot en belangrijk de db is die je hebt bezocht, van wat voor soort website deze is, en hoeveel je daadwerkelijk hebt gedownload.
Het ALLERBELANGRIJKSTE is dat je geen enkele vorm van vergoeding vraagt.
Geen geld, geen eer (daarom dus ook geen journalist), geen privileges, niets.
Dan zal geen enkele officier van justitie je lastig vallen, laat staan dat een rechter je veroordeeld of uitlevert, indien van toepassing.
Anoniem blijven werkt over het algemeen het beste door vanuit een internet-café een geanonimiseerd mailtje te sturen via http://anonymouse.org/anonemail.html bijvoorbeeld. Overigens kunnen daar geen bijlages worden meegezonden (die zijn namelijk mogelijk weer te traceren), maar je kunt een deel van de db gewoon in plain-text kopiëren. Ook kun je natuurlijk geen antwoord ontvangen, maak daarvoor een apart adres aan op mail.com bijvoorbeeld (wees dan wel beducht op bijlage's / persoonlijke veld-invullingen bij aanmelden, IP-tracing etc.). Dus nooit thuis, nooit op een eigen pc, en nooit bestanden uploaden / downloaden, want copy-paste in platte text werkt prima.
Ik ga er vanuit dat je geen financiële instelling, webwinkel, social media of andere grote website hebt gehackt, is dit wel het geval, dan zijn er nog wel wat meer dingen die je ter overweging kunt nemen, maar dat zien we dan wel weer :p
Laat nog even weten hoe het afloopt als je wil! \0/
Veel paranoïde reacties hier. Gewoon contact opnemen met de web beheerder. Hem wijzen op het probleem wordt gewoon gewaardeerd.
"De users staan niet geencrypt in de database"
Bedoel je hiermee dat de gebruikersnamen niet geencrypt worden opgeslagen ?
Volgens mij is dit geen doodzonde ...
Gebruikersnamen worden vaak in plain text opgeslagen.
Zou je aan kunnen geven op welk CMS de website gebaseerd is ?
(Dan kan ik vannacht rustig slapen ... of niet !)
Oh bijna vergeten, etHisch schrijf je met een h ...
Bedoel je hiermee dat de gebruikersnamen niet geencrypt worden opgeslagen ?
Volgens mij is dit geen doodzonde ...
Gebruikersnamen worden vaak in plain text opgeslagen.
Zou je aan kunnen geven op welk CMS de website gebaseerd is ?
(Dan kan ik vannacht rustig slapen ... of niet !)
Oh bijna vergeten, etHisch schrijf je met een h ...
Mail Brenno! Zeer goed te vertrouwen, en je houdt er misschien ook nog wat *stille* eer aan over als het groot genoeg voor het nieuws is ;)
Misschien kun je achterhalen bij welke webhoster de site staat, de webhoster zou aan de site in kwestie een waarschuwing kunnen sturen dat er een mogelijk veiligheidslek is geconstateerd.
indeed, mail brenno de winter. ;-)
... die arme man... ;-)
Zelf eens een beheerder van een dildoshop gemaild met de melding dat half Geenstijl gratis in zijn CMS zat te editen.
Die grapjas heeft mijn 06nummer van mijn website geplukt, en me direct bedreigd met klappen als ik zijn shop niet direct voor hem zou repareren.
Zelfde verhaal met een pentest die ik deed voor een bedrijf, op hun eigen verzoek.
Bleek dat de verkeerde IT-manager getekend had, en ik dus bijna aangeklaagd werdt.
Zolang klokkenluiders nog met pek en veren de stad uit worden gejaagd...
Doe maar gewoon niets.
... die arme man... ;-)
Zelf eens een beheerder van een dildoshop gemaild met de melding dat half Geenstijl gratis in zijn CMS zat te editen.
Die grapjas heeft mijn 06nummer van mijn website geplukt, en me direct bedreigd met klappen als ik zijn shop niet direct voor hem zou repareren.
Zelfde verhaal met een pentest die ik deed voor een bedrijf, op hun eigen verzoek.
Bleek dat de verkeerde IT-manager getekend had, en ik dus bijna aangeklaagd werdt.
Zolang klokkenluiders nog met pek en veren de stad uit worden gejaagd...
Doe maar gewoon niets.
HAHA, al die reacties.
Gewoon mailen, heb ik zo vaak gedaan. En als je dan toch anoniem wilt blijven, dan is een internetcafe e.d. veel te overdreven.
TOR -> Web Proxy (publicproxyservers.com) / HTTP Proxy (Overal zijn 8080/80 lijsten te vinden) -> emkei.cz (website om te mailen)
Als afzender een of ander e-mail adres van yopmail.com. En dit e-mail check je weer met de tor en proxy.
Gewoon mailen, heb ik zo vaak gedaan. En als je dan toch anoniem wilt blijven, dan is een internetcafe e.d. veel te overdreven.
TOR -> Web Proxy (publicproxyservers.com) / HTTP Proxy (Overal zijn 8080/80 lijsten te vinden) -> emkei.cz (website om te mailen)
Als afzender een of ander e-mail adres van yopmail.com. En dit e-mail check je weer met de tor en proxy.
09-07-2012, 15:12 door
yobi
Ik zou het melden bij de webmaster op een anonieme manier (zoals boven beschreven). Meld via welke url en de gebruikte parameters. Of meld het aan Brenno. Verwijder vervolgens alle bewijsmateriaal van je eigen systemen.
Het is toch gewoon treurig dat je zoiets niet zonder risico kan melden.
Door Anoniem: Het is toch gewoon treurig dat je zoiets niet zonder risico kan melden.
KLOPT!Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
