Door The FOSS: Door Erik van Straten: Door The FOSS: ... "or an attempt to damage Wyze’s reputation."
Responsible disclosen, onder het tapijt vegen en zoveel mogelijk anderen de schuld geven (in elk geval de boodschapper) is wel een oplossing zeker?
N.B. die tekst komt niet van Wyze maar van een schrijver voor de reviewgeek website.
En die schrijver is betrouwbaar, want? Wie weet heeft hij banden met Wyze.
Door The FOSS: Door Erik van Straten: Mijn insteek is dat veroorzakers van dit soort klantenleed, die zich uitsluitend zorgen maken over schade aan hun eigen imago, nog veel te weinig financiële schade leiden als gevolg van dit soort "kan gebeuren, niet ons probleem" (in hun ogen) "incidenten". Er kunnen mij niet genoeg bedrijven met zo'n fuck-the-customer business model over de kop gaan.
Wow! Praten we langs elkaar heen? Irresponsible disclosure zonder de fabrikant een kans te geven er wat aan te doen vind ik eigenlijk altijd verwerpelijk. Dat Wyze ken ik verder niet maar zo te lezen doen ze er alles aan om de schade voor hun klanten te beperken. Zelfs een beveiligingsupdate de komende dagen. (Toch? Of mis ik iets?)
Waarom moet een derde partij zo'n open database vinden voordat Wyze het zelf ontdekt (of beter: weet te voorkomen door controles/tests door anderen om fouten of slecht betaalde onkunde van een enkele medewerker in de kiem te smoren)? Als je dat nalaat bij zo'n goudmijn aan klantgegevens, ben je gewoon een hufterbedrijf (zoals zovele, met de continue stroom van grote datalekken als gevolg). De kans is groot dat minder loslippige partijen die database allang hebben gekopieerd en verkocht op de zwarte markt.
Daarbij claimt John Honovich van een andere nieuwssite op 26 december, na -naar verluidt- iemand van "Twelve Security" te hebben gesproken, dat hij contact heeft geprobeerd te zoeken met Wyze m.b.t. het lek, maar dat hij geen respons kreeg (
https://ipvm.com/reports/wyze-leak).
Ook hem moet je maar op zijn woord geloven, maar als je naar gepubliceerde responsible disclosures kijkt (bijv. op de full disclosure en bugtraq maillijsten), dan duurt het vaak ellenlang voor jouw melding, vaak na aanvankelijke ontkenning, serieus door iemand wordt opgepakt - waarna het gebruikelijk is dat er tig keer om uitstel voor het uitbrengen van een fix wordt gevraagd en er uiteindelijk een halve of helemaal geen oplossing verschijnt.
En exact dat is ook mijn persoonlijke ervaring, bijna zonder uitzondering. Natuurlijk probeer ik eerst responsible disclosure, maar ik ben gestopt met trekken aan dode paarden. Primair is hier weer eens een berg klantgegevens gelekt; wie dat meldt en op welke wijze, en wat het bedrijf daarna aan damage control doet, is bijzaak
en moet dat ook zijn. Wat mij betreft blijft het niet bij "an attempt to damage Wyze’s reputation"; als maatschappij moeten we dit soort bedrijven gewoon keihard afstraffen, dan komen de betere (met een fatsoenlijk beveiligingsbeleid) vanzelf bovendrijven.
P.S. het Griekse bedrijf Twelve Sec (
https://twelvesec.com/twelvesec/) lijkt helemaal niets met de kennelijke ontdekker (
https://blog.12security.com/ die je naar een login prompt stuurt en geen www. website heeft) te maken te hebben.