Lek in website, beheerder negeert het. Hoe hier mee om gaan?

Topic afgesplitst van [Datalekken] Wat is nu een datalek en daar mee om gaan?
Het is immers geen datalek met persoonsgegevens etc.

Inhoudelijk: mogelijk kan je contact opnemen met de Tweakers redactie.

Kijk eerst of de hoster / ontwikkelaar / eigenaar een responsible disclosure beleid heeft waar je wat mee kunt.

[ Voor 36% gewijzigd door F_J_K op 05-03-2017 16:16 ]

Ah dat mag inderdaad niet de bedoeling zijn.. IMHO juist vooral niet van het bedrijf, maar dat terzijde..

Mwa als ze zich niet echt aan een vorm van responsible disclosure houden zou je kunnen overwegen de niet-strafbare handelingen te delen op pastebin.Wat derden er dan mee doen is een los geval. Modbreakje: nee, laten we niet dergelijke suggesties geven...

Het NCSC even pingen zou ook kunnen als het een NL organisatie is. Als het kritieke infra is ed willen die er mogelijk wel wat mee, ook qua bemiddeling. Bij een universiteit/HBO zou je wellicht iets via NCSC/surfcert kunnen?

[ Voor 17% gewijzigd door F_J_K op 05-03-2017 22:57 ]

Mag ik vragen welke problemen je hebt gekregen? Wellicht off-topic maar ben wel benieuwd.

Het materiaal dat niet goed is afgeschermd is dat eigendom van de website in kwestie, of zijn ze enkel verkoper?

In het eerste geval: lekker in hun sop gaar laten koken? In het tweede geval zou je evt. nog kunnen kijken of je de rechthebbenden van het aangeboden materiaal kan inseinen dat ze mogelijk inkomsten mislopen doordat de boel daar niet op orde is.

Met lekken in systemen waar gevoelige (persoons)gegevens verwerkt worden kan ik me een plichtsbesef voorstellen dat je het aan de kaak wilt stellen, maar als ze hun eigen koopwaar niet achter slot en grendel zetten en niks doen met je waarschuwing, zou ik persoonlijk me er niet bijster druk meer om kunnen maken.

Ik zou ze sowieso een deadline stellen en zelf geen strafbare handelingen plegen. Daarna kun je doen wat je ethisch gevoel je ingeeft.

ze hebben ook een course over data protection, haha
https://www.e-careers.us/...repreneur/data-protection

Waarom zou je hier bijzonder veel moeite in steken? In de andere gevallen ging het om gegevens van gebruikers, maar hier lijkt men alleen zelf in het nadeel te zijn. Dan moeten ze het verder zelf weten, al is het natuurlijk dubieus dat een bedrijf anderen iets wil leren wat het zelf niet kan of wil.

Squ1zZy schreef op zondag 5 maart 2017 @ 21:16:
Echter voor andere "dingen" ben ik voor de rechter gedaagd.

Ik heb ooit een USB Challenge willen starten op Tweakers. Nadat ik gevonden had hoe ik het wachtwoord kon achterhalen ben ik eerst naar de vendor gegaan om het te melden. Die begon in de eerste email al te dreigen dat als het op Tweakers zou komen ik in de problemen zou raken. Echter doe ik het niet om er iets uit te halen. Sterker nog, ik wil er niet eens wat voor. Ik wil graag helpen, maar dat wordt niet door elk bedrijf gewaardeerd.

Ben je echt voor de rechter gedaagd of dreigde men daar alleen mee? Wat was de uitkomst?

[ Voor 54% gewijzigd door Verwijderd op 05-03-2017 21:42 ]

Ondanks het feit dat ik er persoonlijk totaal geen moeite in zou steken, vind ik dit wel heel interessant. Ben zelf bezig met een cursus over security. Maar, zulke lekken vinden zal nog wel even duren.

Tja, waarom zou je hier energie in steken als je geen journalist bent? Heel veel sites en applicaties zijn lek. Imho kun je beter meedoen aan bugbounties, naast het verdienen van geld zorgen de meeste platformen er voor dat je gelijk in contact met de leverancier bent en er iets aan gebeurd. (al kan dit soms ook heel lang duren....)

Dit grijze gebied kan je op termijn wel in de problemen brengen. Dus kies een zwart hoedje en zorg voor goede OPSEC of een wit hoedje en bouw een mooie reputatie/CV op

Hey,

Vaak denken ze ook dat je een soort 'grapje' maakt en geld wilt ronselen.
Daarom doen ze er vaak niks aan, kijk al zeg je ik heb een 'exploit' gevonden waarmee ik de hele website kan verwijderen.... tja dan gaan ze erachter aan. Maar die kleine dingen maken hun niet zo veel uit.

Squ1zZy schreef op zondag 5 maart 2017 @ 16:00:
Ik heb weer eens een lek gevonden waarbij ik meerdere malen via de chat hebt aangegeven dat ik een lek gevonden hebt. Nu geven ze steeds aan email maar, maar ook daar krijg ik geen response.

Nu vind ik het normaal niet erg, maar het stoort mij dat ze er niets aan doen. Ik probeer te helpen, maar ze zijn te laks om er iets aan te doen of überhaupt maar te reageren. Nu zit ik er toch weer aan te denken om het nieuws te zoeken om dan wat kracht erachter te zetten.

Het gaat om een website waarbij er studiemateriaal door middel van videos worden verkocht. Er staat totaal voor meer dan 600.000 euro aan videos die iedereen kan bekijken voor simpele URL manipulation.

Ook zijn de videos te achterhalen door naamgeving standaarden aan te houden die zelf op de website wordt aangegeven.

What to do? Hierbij laten? Ik snap dat het niet mijn probleem is, maar ik voel me bijna verplicht om hier tegen op te treden omdat het anders nooit wordt opgepakt.

Het toverwoord is "responsible disclosure".
Daar zijn kant-en-klare procedures voor te vinden. Meestal komt het neer op: "Ik heb probleem X gevonden in uw product. Over 90 dagen wordt het gepubliceerd en gemeld bij autoriteit Y. Wilt u misschien meer informatie?"

Als autoriteit kun je tegenwoordig vrijwel altijd de Autoriteit Persoonsgegevens gebruiken, al lijkt het hier nu eens niet van toepassing omdat er geen persoonsgegevens lekken, voor zover ik dat kan beoordelen.

Misschien kun je nog een andere partij vinden om het probleem te melden. Is die website ook gebouwd door het bedrijf dat die video's verkoopt of hebben ze dat extern ingehuurd? Is de directeur ook de eigenaar van het bedrijf? Zijn ze deel van een beroepsvereniging of keurmerk?

Meestal e-mail ik het bedrijf eerst en vraag hun een aantal dingen zoals:

• Waar is jullie responsible disclosure?
• Kan ik jullie bellen of bellen jullie mij om de PGP sleutel te verifiëren die ik moet gebruiken in verdere e-mail conversaties?
• Bij geen gehoor zal ik volgens de standaard responsible disclosure procedure na 90 dagen de NCSC en andere instanties inlichten.

Meestal krijg ik dan direct response (inclusief dat ze geen PGP hebben ) en of ik een biertje kom drinken als bedankje zodra ik in de buurt ben.

[ Voor 15% gewijzigd door DJMaze op 28-03-2017 13:47 ]

Als een bedrijf niet reageert kan je het op wat sites behalve pastebin bekend maken denk ik zo. Via ncsc zou je het misschien ook kunnen proberen hoewel die alleen bij mijn weten in NL operatief zijn. Als dat bedrijf een NL locatie heeft wordt het al eenvoudiger. Via ncsc zou je het als het goed is anoniem moeten kunnen doen, zij worden dan tussen contact persoon. Bij het bedrijf waar ik werk kunnen ethical hackers het netjes melden en hier hebben wij ook een procedure voor om het netjes af te handelen. Als je het op pastebin zet doe het dan vooral heel erg anoniem dat je het hier al genoemd hebt maakt het zoekbaar dus ik zou zeggen pas vooral op met openbaar maken hoe je je er ook aan ergert.

DJMaze schreef op dinsdag 28 maart 2017 @ 13:45:
inclusief dat ze geen PGP hebben

Waarom is dat zo onlogisch? Zou het beter zijn? Wellicht.

Ik zie dat de OP van inmiddels 3 weken geleden is. Ik ben heel nieuwsgierig naar of het bedrijf inmiddels gereageerd heeft. Als iemand mij zo'n lek zou melden, op deze manier, zou ik dat heel fijn vinden!

[b]Squ1zZy schreef op zondag 5 maart 2017 @ 21:55:[/b
Ik heb er maar 1x gestaan. Vonnis was toen enkele 1000-en euro's imagoschade. Die heb ik toen maar netjes betaald gezien ik toen vond dat ik er wel goed vanaf kwam.

Ben je toen fatsoenlijk verdedigd?

Squ1zZy schreef op dinsdag 28 maart 2017 @ 21:26:
[...]


Nope. Ik heb aangegeven dat ik ze een week zal geven en dan het lek openbaar zal zetten, maar geen response niets. Uiteindelijk heb ik het laten gaan en heb ik er niets mee gedaan. Om het op pastebin te zetten gaat mij te ver.

Het is mijn verantwoordelijkheid niet, maar als het kan zou ik graag bij willen dragen aan een countermeasure c.q. control om de risico te verlagen. In dit geval zoeken ze het maar uit

Echt dom, want het is gewoon hun handelswaar dat op straat ligt. Maar inderdaad jouw probleem niet. Zolang de klanten niet gedupeerd worden zou ik zelf ook geen risico nemen.

Ja, daar kan ik ook niet bij! Zéker als je erop gewezen wordt, moet je direct aan de slag.

[ Voor 51% gewijzigd door Room42 op 28-03-2017 21:43 ]

Ik zou even proberen of je de website kan terugvinden in de directory van HackerOne: https://hackerone.com/directory. Hier hebben ze voor bedrijven die nog geen responsible disclosure policy hebben een manier om assistentie te krijgen bij het disclosen van de issue naar het bedrijf. In de meeste gevallen komt er dan voor beide partijen een oplossing.

Disclaimer: Ik ben waarschijnlijk een beetje biased aangezien ik werk voor HackerOne.

rusman schreef op dinsdag 28 maart 2017 @ 21:49:
Disclaimer: Ik ben waarschijnlijk een beetje biased aangezien ik werk voor HackerOne.

Had je een kans de term Full disclosure in plaats van Disclaimer te gebruiken, laat je 'm liggen

Room42 schreef op dinsdag 28 maart 2017 @ 21:38:
[...]

Echt dom, want het is gewoon hun handelswaar dat op straat ligt. Maar inderdaad jouw probleem niet. Zolang de klanten niet gedupeerd worden zou ik zelf ook geen risico nemen.

Dat idd.
Ja, het is handelswaar. Maar het is ook kosten/baten. Spul draait op een CDN zo te zien. Dan moet dat bedrijf dus naar de CDN leverncier, roepen dat ze het spul dichtzetten, en dat doet die cdn ook niet zomaar. Kost klauwen met geld om een dergelijke procedure door te lopen, al was het maar aan manuren, administratie, legal en financial costs en de tijd die er in gaat zitten.
Ze beginnen met reclame, iedereen kan zien van wie ze zijn en waar ze dus voor een cursus terecht kunnen. En dikke kans hebben ze de kosten van het maken er al lang uit. Ergo: zelfs als het "geleend" wordt, dan nog is het een marketinginstrument dat niks meer kost maar mogelijk wel oplevert.

DAT is de afweging die een bedrijfsbestuurder zal maken. Niet de technische of ethische.

En bovendien:
- een betalende student kan ze ook downloaden, is het niet direct danwel via een browser plugin oid.
- een online cursus is sowieso al niet zo duur, dus ook daar kosten/baten en wat is het verlies nou helemaal?

rusman schreef op dinsdag 28 maart 2017 @ 21:49:
Ik zou even proberen of je de website kan terugvinden in de directory van HackerOne: https://hackerone.com/directory. Hier hebben ze voor bedrijven die nog geen responsible disclosure policy hebben een manier om assistentie te krijgen bij het disclosen van de issue naar het bedrijf. In de meeste gevallen komt er dan voor beide partijen een oplossing.

Deze pagina dus: https://hackerone.com/e-careers

Verwijderd schreef op dinsdag 28 maart 2017 @ 21:55:
[...]

Had je een kans de term Full disclosure in plaats van Disclaimer te gebruiken, laat je 'm liggen

Haha

Squ1zZy schreef op dinsdag 28 maart 2017 @ 22:20:
Edit: Dit zijn overigens wel de momenten waarop ik twijfel alle links (overigens 12.603 directe links naar video's die zonder account zijn te bekijken) online te zetten met een linkje naar de torrent

En dat lijkt me dan in dit geval hoogst onverstandig. Heeft ook 0,0 nut.

Zoals ik eerder al aangaf: de enige partij die hier risico loopt is het bedrijf zelf. Keurig dat je ze daarop attent maakt, maar als ze er niks mee willen doen: lekker in hun sop gaar laten koken.

Dingen aan de grote klok hangen is in mijn ogen alleen nuttig als er een derde partij (bijvoorbeeld klanten wiens persoonsgegevens niet goed beveiligd zijn) risico loopt.

Squ1zZy schreef op dinsdag 28 maart 2017 @ 22:20:
Ze snappen het echt niet. Ik geef het op

[afbeelding]

[afbeelding]

[afbeelding]

Overigens heb ik 32 minuten moeten wachten nadat er werd aangegeven "Please allow few minutes to check the details for you". Geen idee of hij met "details" de email bedoeld, maar die was vrij kort

Edit: Dit zijn overigens wel de momenten waarop ik twijfel alle links (overigens 12.603 directe links naar video's die zonder account zijn te bekijken) online te zetten met een linkje naar de torrent

naja niet verstanding maar laten we zo zeggen zou het niet erg vinden om een leuke interessante cursus tevolgen gratis

achja brengje zelf maar niet in de problemen

Afgezien van dat het niet hoort, het is toch vooral voor hun een probleem als ze er niets mee doen? Het zijn hun eigen video's die je daar kan kopen/huren/bekijken? Geen gegevens van gebruikers ofzo?

Dat is net zoiets als een winkel die een bepaald percentage aan diefstallen incalculeert denk ik. Pas als er echt veel gestolen wordt en het gaat meer kosten als de extra beveiligingsmiddelen gaan ze er wat aan doen.

Vanuit mijn werk heb ik een leverancier wel eens verteld dat we geen klant willen zijn van een bedrijf dat z'n zaken overduidelijk niet op orde heeft. Hoewel wij geen last hadden van het probleem in kwestie hadden, riep de situatie de vraag op of onze data wel veilig was en hoe het bedrijf er mee zou omgaan als er een probleem zou worden gevonden.