Door Statera: Enkele situaties waar ik de afgelopen tijd mee te maken heb gehad:
Een paar maanden geleden heb ik een simpele maar serieuze kwetsbaarheid gevonden in een webapplicatie van een grote Nederlandse organisatie. Ik heb meteen open kaart gespeeld en de organisatie op de hoogte gesteld van de kwetsbaarheid. Deze reageerde redelijk snel en liet weten dat het inderdaad een kwetsbaarheid was en dat deze een "potentieel gevaar vormt" en daarom snel actie zullen gaan ondernemen. Het is nu echter een paar maanden later en de kwetsbaarheid is nog steeds aanwezig in de webapplicatie. Er is dus niets aan gedaan.
In een andere situatie heb ik een bedrijf via een responsible disclosure beleid op de hoogte gesteld van een kwetsbaarheid in hun webapplicatie/configuratie. Het desbetreffende bedrijf reageerde redelijk snel op de melding en de kwetsbaarheid was binnen enkele dagen gedicht. Echter stond in het responsible disclosure beleid dat het bedrijf mij op de hoogte zou stellen van de voortgang van het dichten van het lek, wat niet werd gedaan. Ik moest er namelijk zelf enkele dagen later achter komen! Toen ik hierop een mail stuurde naar het bedrijf liet een medewerker weten dat ze het 'vergeten' waren om mij op de hoogte te stellen. Ook stond in het responsible disclosure beleid ook dat ik een (kleine) beloning zou ontvangen, hoewel dat niet de reden is waarom ik dit soort kwetsbaarheden meld, is een beloning waar je recht op hebt natuurlijk nooit verkeerd :). Toen ik vroeg naar de beloning kreeg ik een kort mailtje waarin naar mijn adres gevraagd werd, na dit terug gestuurd te hebben verwachtte ik een beloning. Deze is echter nooit verschenen, en ook na een email te hebben gestuurd hierover ontving ik geen email meer terug.
Zo zijn er nog enkele situaties waar of zeer traag gereageerd werd op de meldingen of waarin het bedrijf/organisatie niet de voorwaarden uit hun eigen responsible disclosure beleid naleeft.
Wat is in deze situatie de beste manier om hiermee om te gaan? Enkele collega's van mij lieten weten dat ik naar de pers moest gaan of iets dergelijks, echter heb ik hier mij twijfels bij.
Heeft iemand hier suggesties over hoe met dit soort situaties om te gaan? Alvast bedankt!
Toen ik
http://www.theregister.co.uk/2015/08/27/smart_home_insecure/ vanmorgen las was dat "de druppel" om in deze thread te reageren. Organisaties zijn meestal veel complexer (afdelingen en personen met verschillende inzichten, uitbesteedde diensten zoals hosting etc.) en hebben veel meer belangen dan je op het eerste gezicht (als buitenstaander) vermoedt (zie ook de bijdrage van Peter 08:23 hierboven). De klant is nooit de enige koning.
Ik ken zijn 3 redenen om beveiligingsproblemen te melden (combinaties zijn mogelijk):
1) Je hebt er een direct belang bij dat ze worden gefixed, bijv. omdat
jouw gegevens onvoldoende worden beschermd
2) Je wilt een bijdrage leveren aan het veiliger maken van internet
3) Je wilt er zelf beter van worden (roem, cadeautjes, geld)
Als er (schijnbaar) niet (voldoende) op jouw melding/klacht gereageerd wordt:
1) Ga zomogelijk weg bij die organisatie. Meld de reden van vertrek aan die organisatie, en als er iets van een brancheorganisatie of (onafhankelijke) klachtencommissie bestaat, ook daar. Als het een echt ernstig lek is (in vergelijking met wat nu in de pers verschijnt) kun je naar de pers stappen als ze niet reageren, maar raadpleeg dan eerst een advocaat. Mochten ze je dan voor de rechter slepen heb je in elk geval een goed argument.
2) Haal je schouders op; een dikke huid is noodzakelijk. Je draagt wel degelijk bij; het heeft bijv. bij Microsoft ook lang geduurd voordat zij automatische updates ging verspreiden. Wees heel voorzichtig met escaleren naar de pers, want voor je het weet heb je een advocaat op je dak en bovendien kan het je kansen op toekomstige banen verkleinen. De mogelijkheid bestaat nl. dat de directie
tactisch met een "responsible disclosure beleid" heeft ingestemd,
juist omdat security geen prioriteit heeft en zij blunders uit de pers wil houden. Veel "stille" meldingen zoals van jou in plaats van 1 heel lawaaïge
kan in bij zo'n directie tot nieuwe inzichten leiden. Ga in elk geval niet als individu de held uithangen: meld eventueel het lek bij een organisatie als Zero Day Initiative (persoonlijk heb ik dit nog nooit gedaan) of wacht rustig af tot een ander ze aan de schandpaal nagelt c.q. de directie tot andere inzichten komt.
3) Zoek bedrijven uit waarvan bekend is dat ze zich aan hun eigen responsible disclosure beleid houden en vermijd de rest.
Kent iemand toevallig een lijst van organisaties met een responsible disclosure beleid en de mate waaraan ze zich daaraan houden? Als die niet bestaat zou het m.i. goed zijn als die er kwam - niet alleen voor onderzoekers en melders, maar ook voor klanten die dan betere afwegingen kunnen maken (indien er keuzes bestaan).