Door Anoniem: Dan nog gooi je een kwetsbaarheid niet zomaar naar buiten. Ik heb zelf ook eens een ernstige kwetsbaarheid gemeld - volgens de richtlijnen - maar heb nooit de gegevens van dit lek en de organisatie genoemd op een website.
Je eerst houden aan de voorschriften, en dan ervan afwijken, noem ik geen responsible disclosure.
Je hebt kennelijk mijn uitleg niet gelezen.
De afspraak bij responsible disclosure is dat de vinder van een lek dat meldt bij de leverancier, dat vervolgens een periode onder de pet houdt die de leverancier tijd geeft om het lek te repareren en de reparatie uit te rollen, en dat het na die afgesproken periode wél openbaar gemaakt mag worden.
Als de melder dat netjes doet, maar de leverancier er met de pet naar gooit, wie is er dan verantwoordelijk voor de schade? Dan is het de leverancier die zich niet aan zijn kant van de afspraak heeft gehouden, die had het lek moeten repareren.
Moet de melder het dan maar langer laten duren? Daar is echt wel wat voor te zeggen als de leverancier meldt er meer tijd voor nodig te hebben, maar dat is niet wat hier gebeurd is. Een niet gerepareerd lek op straat gooien is zeker schadelijk, maar de wetenschap dat dat gebeurt is precies wat maakt dat leveranciers niet opnieuw laks worden.
En dat weten ze.Als de melder van een lek die dreiging van openbaarmaking uitvoert is er op dat moment een zeroday-lek. Maar als de melder dat niet doet geeft hij de softwareleverancier een vrijbrief om lekken te negeren. Dat wil je ook niet. Wil die druk in stand gehouden worden dan moeten lekken ook echt geopenbaard worden.
Ik kan in dit geval niet alles beoordelen omdat in het verhaal van SSD niets wordt gezegd over welke termijnen er zijn verstreken. Maar als ze dat wel goed hebben gedaan dan ligt de verantwoordelijkheid voor dit zeroday-lek bij Apple. Dat hadden ze direct moeten repareren en dat had ook makkelijk gekund. Hoe je het precies noteert verschilt per taal, maar dit is zoiets als het verschil tussen:
if protocol == 'file' then ...
en:
if lcase(protocol) == 'file' then ...
Zo klein is dit als je het mij vraagt, het stelt qua programmacode echt geen ruk voor. Het is al
bijzonder slordig dat ze dat niet meteen goed hebben gedaan, en nog eens
ronduit nalatig dat ze de melding daarover helemaal genegeerd hebben.
Dus zelfs als SSD zich niet aan termijnen voor responsible disclosure gehouden heeft (wat we niet weten en wat ze ook goed kunnen hebben gedaan) is er alle reden om hier je verontwaardiging ook op Apple te richten.
De schuld van een schadelijke situatie ligt niet uitsluitend bij iemand die iets heeft gedaan heeft. Iets belangriks nalaten is ook ernstig, en dat kan zelfs de grootste van de twee verantwoordelijkheden zijn.