Vulnerability melden aan bedrijf zonder RD-Beleid ja/nee?

Ligt er aan wat voor lek/bug het is? Glitch? is het valuta duping of accounts overnemen?


Er is geen developer die jou in de nadeel zal stellen als je iets vindt.

[ Voor 30% gewijzigd door 42dpi op 08-02-2014 21:15 ]

42dpi schreef op zaterdag 08 februari 2014 @ 21:14:
Ligt er aan wat voor lek/bug het is? Glitch? is het valuta duping of accounts overnemen?


Er is geen developer die jou in de nadeel zal stellen als je iets vindt.

Waar baseer jij je mening op? Zat bedrijven/games die helemaal niet open staan voor dit soort "user-input". Het is meer dan genoeg voorgekomen dat ze een perma ban uitvoeren en de rest in een doofpot gooien. Zoals TS al aangeeft, staan ze er helemaal niet open voor.

@MXXI, het is gewoon lastig met deze informatie. Je weet zelf al dat ze het waarschijnlijk niet appreciëren. Wil je het toch melden, dan zou ik gebruik maken van één van de talloze mogelijkheden om jezelf te anonimiseren. Denk aan een nieuw email adres, even een proxy e.d. en het dan toch doorgeven. Dit is prima genoeg om anoniem te blijven tegen bedrijven.

Wellicht toch even het bedrijf/game melden? Zoiets kun je beter vermelden dan de exploit zelf wil je dat we meer informatie geven.

[ Voor 6% gewijzigd door Douweegbertje op 08-02-2014 21:20 ]

Daarom, anoniem blijven. Zo super lastig is dat niet.
Probeer het in eerste instantie gewoon direct naar hun toe, dus niet publiekelijk.

Ik zou zeggen anoniem mailtje maar met dit topic weten ze je denk ik zo te vinden.

Anoniem melden, dus met een anoniem e-mailadres en proxy/Tor. Vervolgens afwachten wat ze ermee doen.
Doen ze niks? Naar de media.

Hopelijk pakken ze 't goed op

[ Voor 12% gewijzigd door Koenvh op 08-02-2014 21:28 ]

Er zijn recentelijk verschillende voorbeelden geweest van mensen die te goeder trouw iets meldden en daarna een rechtszaak aan hun broek kregen, dus ik zou ermee oppassen. Publiekelijk bekend maken is ook onverstandig aangezien je het, gezien de aard van het probleem, waarschijnlijk voor anderen zeer eenvoudig maakt om het lek ook te misbruiken.

Het beste kun je denk ik via Tor een contactformuliertje invullen op de site Eer voor je werk hoef je toch niet te verwachten denk ik, dus dan kan het ook anoniem.

[ Voor 9% gewijzigd door Bigs op 08-02-2014 21:39 ]

Anders eens via NCSC proberen? Helpt vaak als het een nederlandse onderneming is.

Verwijderd schreef op zaterdag 08 februari 2014 @ 21:46:
Jammer genoeg moet je een account hebben on bugs te submitten, dus ik denk dat dit hem niet gaat worden. Er zit dus geen andere optie op voor mij dan hem in iedergeval voorlopig te laten liggen.

Kost een account geld? Anders kun je een nepaccountje aanmaken.

Je kunt ook samen met de media naar het bedrijf gaan, dat kan ook helpen.

Verwijderd schreef op zaterdag 08 februari 2014 @ 21:46:
Jammer genoeg moet je een account hebben on bugs te submitten, dus ik denk dat dit hem niet gaat worden. Er zit dus geen andere optie op voor mij dan hem in iedergeval voorlopig te laten liggen.

Natuurlijk niet. Elk bedrijf heeft email adressen, je moet ze alleen even vinden. Mocht je het niet kunnen vinden dan kun je altijd via de PM wat info sturen, wellicht dat ik je kan helpen.

Betaalpartner van het bedrijf benaderen

Douweegbertje schreef op zaterdag 08 februari 2014 @ 21:59:
[...]


Natuurlijk niet. Elk bedrijf heeft email adressen, je moet ze alleen even vinden. Mocht je het niet kunnen vinden dan kun je altijd via de PM wat info sturen, wellicht dat ik je kan helpen.

Dat dus.. Ook kun je http://whois.domaintools.com/ proberen, als er een e-mailadres is opgegeven bij de domeinnaam tenminste.

En anders misschien nog plan: Tweakers sluit zich aan bij klokkenluidersite Publeaks en https://publeaks.nl/index.html

Publeaks is nou niet echt responsible disclosure...

Verwijderd schreef op zaterdag 08 februari 2014 @ 21:51:
@Boudewijn, Helaas heb ik dat al geprobeerd, en omdat het een internationaal bedrijf is wil de NCSC mij niet helpen.

US-CERT.

Of gewoon joost even melden.
Op zijn twitter vind je ook hash van zijn PGP key.

Bigs schreef op zaterdag 08 februari 2014 @ 21:39:
Er zijn recentelijk verschillende voorbeelden geweest van mensen die te goeder trouw iets meldden en daarna een rechtszaak aan hun broek kregen, dus ik zou ermee oppassen.

Het gaat er niet om of je louter te goeder trouw handelt, maar of je een (mogelijk) strafbaar feit pleegt - los van het feit dat een dergelijke veralgemenisering naar FUD neigt - mits je zorgvuldig handelt is er weinig om bang voor te zijn. Mocht je van mening zijn dat dat wel zo is, dan zie ik graag wat concrete voorbeelden.

Verwijderd schreef op zaterdag 08 februari 2014 @ 21:24:
@Douweegbertje, het probleem is dat het een platform met miljoenen gebruikers is, en de kans dat er een aangifte / rechtzaak van komt is heel groot

Waar baseer je dat op?

Verwijderd schreef op zaterdag 08 februari 2014 @ 23:02:
US-CERT.

TS heeft nog geen serieuze poging ondernomen om $bedrijf te contacteren (zoek eens een mailadres of telefoonnummer).

Bovendien heb ik de indruk dat CERT primair vulnerability reports coordineert/afhandelt in wijdverspreide softwarepakketten, als ze voor iedere XSS in een custom built website een mailtje zouden krijgen kunnen ze de tent wel opdoeken (dat lijkt me dan ook primair het probleem van $bedrijf, itt. een vulnerability in een pakket dat door een hoop vendors geshipped wordt).

Douweegbertje schreef op zaterdag 08 februari 2014 @ 21:19:
[...]


Waar baseer jij je mening op? Zat bedrijven/games die helemaal niet open staan voor dit soort "user-input". Het is meer dan genoeg voorgekomen dat ze een perma ban uitvoeren en de rest in een doofpot gooien. Zoals TS al aangeeft, staan ze er helemaal niet open voor.

Lijkt me echt serieus bs dat ze je meteen bannen of rechtzaak tegen je beginnen op het moment dat je hun een mail stuurt wat er aan de hand is.

Als je nou heel het internet vol smijt hoe je er misbruik van kan maken is een andere verhaal.