Digitale slotenmaker dreigt onderzoeker wegens ontdekte lekken
Een fabrikant van digitale sloten heeft een onderzoeker van beveiligingsbedrijf IOActive met mogelijke stappen gedreigd wegens de publicatie van kwetsbaarheden in één van de producten. CyberLock levert zwaarbeveiligde sloten en cilinders, waaronder de CyberKey. Dit is een digitale sleutel die volgens de slotenmaker niet te klonen is en voor allerlei belangrijke omgevingen kan worden gebruikt.
Onderzoeker Mike Davis ontdekte echter dat de sleutels eenvoudig te klonen zijn en nieuwe sleutels eenvoudig aan de hand van verloren cilinders en sleutels zijn te maken, ongeacht de permissies die aan de sleutel zijn toegekend. Daarnaast bleek dat de tijdsrestrictie door de sleutel wordt gehandhaafd en niet de cilinder, waardoor een aanvaller op elk moment van de dag toegang kan krijgen, ongeacht de configuratie.
Davis waarschuwde CyberLock op 31 maart van dit jaar en stuurde in totaal zes herinneringen naar verschillende afdelingen. Daarin had de onderzoeker laten weten dat hij de advisory met zijn bevindingen over een maand zou publiceren. Hij kreeg echter geen reactie. Een dag voor de publicatiedatum van 30 april ontving Davis een brief van een advocatenkantoor dat door CyberLock in de arm was genomen. In de brief werd de onderzoeker gevraagd om de kwetsbaarheden niet te publiceren totdat ze verholpen waren. Ook werd er gedreigd dat het onderzoek mogelijk in strijd met de Digital Millennium Copyright Act zou zijn.
Tweede brief
De onderzoeker besloot de advisory (pdf) toch te publiceren, waarop er een tweede brief van het advocatenkantoor volgde. Daarin werd gesteld dat het rapport van de onderzoeker niet volledig was en er belangrijke zaken ontbraken. Ook zouden de bevindingen van Davis niet voor alle producten van CyberLock gelden. Verder zou het bedrijf continu firmware-updates uitbrengen om gevonden problemen te verhelpen. Het advocatenkantoor schrijft daarnaast dat het onderzoek niet door het publiek is uit te voeren en specialistische kennis en kostbare tools vereist.
Een ander punt in de brief gaat over de gehanteerde deadline van 30 dagen en dat IOActive mogelijk een uitgebreider rapport met werkende exploit voor de CyberKey zal publiceren. In een reactie zegt Davis dat hij best de deadline had willen verschuiven, maar dat CyberLock ervoor koos om een advocaat in te schakelen in plaats van contact te leggen met het beveiligingsbedrijf.
Als je een beveiligings product levert of pretendeert dat iets veilig is, dan heb je dat onderzocht toch?? Als het vervolgens zo lek als een mandje is en je daar via responsible disclosure op gewezen wordt dan verdien je op zijn minst naming and shaming . Persoonlijk hoop ik dat goed werkende concurrentie zulke bedrijven de markt uit werken. Dan zijn we allemaal weer iets veiliger...
Dat is ook niet netjes inderdaad.
En als je enkel mailt, ik bedoel je kan ook natuurlijk even bellen.
Zo kom je veel makkelijker bij de juiste persoon uit.
Media aandacht hongerige researchers, altijd leuk maar meer een dreiging als een goed.
CyberKey heeft gewoon verzuimt om contact op te nemen, en moet nu op de blaren zitten...
Wat een idioten...
Dat is ook niet netjes inderdaad.
En als je enkel mailt, ik bedoel je kan ook natuurlijk even bellen.
Zo kom je veel makkelijker bij de juiste persoon uit.
Media aandacht hongerige researchers, altijd leuk maar meer een dreiging als een goed.
Nonsens. Cyberkey had op z'n minst kunnen reageren en 'm bedanken voor de heads-up. Samen met de mededeling dat ze de 30 dagen niet zouden halen, had er dus niets aan de hand hoeven zijn. Naming and shaming is zeker op z'n plaats.
Dat is ook niet netjes inderdaad.
En als je enkel mailt, ik bedoel je kan ook natuurlijk even bellen.
Zo kom je veel makkelijker bij de juiste persoon uit.
Media aandacht hongerige researchers, altijd leuk maar meer een dreiging als een goed.
Iedereen weet dat je met mail documentatie in handen hebt die als bewijs kan worden gebruikt.
Bij telefonisch contact ontbreekt dit en heb je niets in handen.
Dat is ook niet netjes inderdaad.
En als je enkel mailt, ik bedoel je kan ook natuurlijk even bellen.
Zo kom je veel makkelijker bij de juiste persoon uit.
Media aandacht hongerige researchers, altijd leuk maar meer een dreiging als een goed.
Hij heeft meerdere pogingen gedaan om in contact te komen. CyberKey heeft die mail gehad. CyberKey heeft echter besloten om niet naar hem te reageren, maar de tijd te laten verstrijken door een advocaat in te schakelen. Dat heeft hen meer tijd en geld gekost dan een mail aan IOActive.
peter
Goede actie dat er toch gepubliceerd wordt. Niet dat de gebruikers er wat aan gaan doen, maar ze hadden het kunnen weten...
Als je een beveiligings product levert of pretendeert dat iets veilig is, dan heb je dat onderzocht toch?? Als het vervolgens zo lek als een mandje is en je daar via responsible disclosure op gewezen wordt dan verdien je op zijn minst naming and shaming . Persoonlijk hoop ik dat goed werkende concurrentie zulke bedrijven de markt uit werken. Dan zijn we allemaal weer iets veiliger...[/quote]
Dan loopt hij zijn 'gehoopte vergoeding' denk ik mis???
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
