Bedrijf controle geven over blogpost responsible disclosure? - Privacy en beveiliging

woensdag 24 mei 2017 11:39

Acties:

0 Henk 'm!

Topicstarter

Stel je zit als melder van een datalek in de laatste fase van het meld-traject. Het probleem is aangepakt door het bedrijf, compensatie is bijna rond en de 'slachtoffers' ingelicht. Over het publiceren van een blogpost op een blog is het bedrijf een beetje huiverig, en het wil de inhoud van de blogpost graag inzien en 'bewerkingen voorstellen' alvorens de publicatie.

Sta je in je recht als onderzoeker cq melder om dit te negeren, of ben je verplicht hier aan te gehoorzamen? In het kader van persvrijheid zou je denken dat de melder mag publiceren wat hij of zij wil, zolang dit anderen niet schaadt. Is het netjes om hier een tussenweg in te vinden, of om voet bij stuk te houden?

Wat zijn de standpunten van mede Tweakers hier over?

[ Voor 4% gewijzigd door lesander op 24-05-2017 14:04 ]

woensdag 24 mei 2017 11:51

Acties:

0 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Vrijheid van meningsuiting is geen vrijbrief om bijvoorbeeld gevoelige informatie over een bedrijf publiek te maken.

De vraag is of het heel zinvol is om je hier druk over te maken voordat het stuk geschreven is en het bedrijf er hun commentaar op gegeven heeft? Want uiteindelijk zal dit gewoon een afweging zijn tussen nieuwswaarde van wat jij wilt publiceren versus belangen van het bedrijf om bepaalde informatie niet publiek te hebben.

Zie ook bijvoorbeeld de zaak tussen de Radboud universiteit en NXP rondom het kraken van de ov-chipkaart een aantal jaar geleden. Daar probeerde NXP (als ik het me goed herinner) publicatie tegen te houden en dat is uiteindelijk voor de rechter gekomen. Let wel: daarbij was het probleem natuurlijk nog niet opgelost, dus de publicatie kon aanleiding zijn om misbruik te gaan maken van de kwetsbaarheden. In jouw geval is dat laatste in elk geval geen risico meer, begrijp ik?

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

woensdag 24 mei 2017 12:11

Acties:

0 Henk 'm!

Wouterkaas

Ik zou ze mee laten lezen en het gesprek erover aangaan. Als jij geen verdere (potentiële) kwetsbaarheden of gevoelige informatie naar buiten brengt en het belang van transparantie over dit onderwerp goed kunt uitleggen, kun je daar volgens mij prima een stuk over publiceren, zonder (al te veel) inmenging van het bedrijf.

Als je dergelijke gevoelige informatie wel naar buiten wilt brengen, ondermijn je daarmee denk ik wel het idee van 'responsible disclosure'.

woensdag 24 mei 2017 12:23

Acties:

0 Henk 'm!

lesander

Topicstarter

Orion84 schreef op woensdag 24 mei 2017 @ 11:51:
Vrijheid van meningsuiting is geen vrijbrief om bijvoorbeeld gevoelige informatie over een bedrijf publiek te maken.

De vraag is of het heel zinvol is om je hier druk over te maken voordat het stuk geschreven is en het bedrijf er hun commentaar op gegeven heeft? Want uiteindelijk zal dit gewoon een afweging zijn tussen nieuwswaarde van wat jij wilt publiceren versus belangen van het bedrijf om bepaalde informatie niet publiek te hebben.
[...]

Uiteraard zou ik verantwoord met gevoelige informatie om gaan, maar een bedrijf kan dit natuurlijk nog niet weten voor de tekst gelezen te hebben. Of het zinvol is om hier van te voren over na te denken weet ik niet, maar liever te vroeg dan te laat. Het datalek in kwestie heeft zeker nieuwswaarde, gezien recente publicaties en de impact op het aantal gebruikers.

Orion84 schreef op woensdag 24 mei 2017 @ 11:51:
[...] daarbij was het probleem natuurlijk nog niet opgelost, dus de publicatie kon aanleiding zijn om misbruik te gaan maken van de kwetsbaarheden. In jouw geval is dat laatste in elk geval geen risico meer, begrijp ik?

De zaak Radboud v NXP is een goed voorbeeld, maar in het huidige geval is er gelukkig geen risico van misbruik meer.

Zijn er misschien mede datalek-melders, pentesters of whitehat-hackers die kunnen vertellen hoe zij hier mee om zijn gegaan in het verleden?

[ Voor 3% gewijzigd door lesander op 24-05-2017 13:59 ]

woensdag 24 mei 2017 12:39

Acties:

0 Henk 'm!

mcDavid

Wouterkaas schreef op woensdag 24 mei 2017 @ 12:11:
Ik zou ze mee laten lezen en het gesprek erover aangaan. Als jij geen verdere (potentiële) kwetsbaarheden of gevoelige informatie naar buiten brengt en het belang van transparantie over dit onderwerp goed kunt uitleggen, kun je daar volgens mij prima een stuk over publiceren, zonder (al te veel) inmenging van het bedrijf.

Ik zou daar juist heel voorzichtig mee zijn. Het ondermijnt al gauw je journalistieke onafhankelijkheid als je samenwerkt met een partij die onderwerp is in je artikel. Zelfs al zou je geen aanpassingen doen, het feit dat het geproofread wordt kan al zorgen voor (onbewuste) zelfcensuur.

Als je dergelijke gevoelige informatie wel naar buiten wilt brengen, ondermijn je daarmee denk ik wel het idee van 'responsible disclosure'.

Hoezo? Het probleem is toch gemeld en er is gewacht met publiceren tot het issue verholpen is. Wat moet je dan nog meer doen?

woensdag 24 mei 2017 12:48

Acties:

0 Henk 'm!

P_Tingen

omdat het KAN

Iets langs dezelfde lijn hebben wij bij onze OR. De bestuurder wil graag onze stukken lezen voordat wij ze publiceren. In het verleden lieten we ons verleiden om onze stukken - na lezing - nog ruim aan te passen, maar daar zijn we mee gestopt. We laten het nu nog wel lezen, maar dat is enkel om domme fouten te voorkomen; mochten we iets erin hebben staan dat pertinente onzin is, dan is het ook in ons eigen belang om dat eruit te halen.

We hebben de bestuurder uiteraard ingelicht toen we deze koers in hebben gezet. Die was akkoord, maar besefte het niet echt. Dat kwam later, toen we de suggesties die gedaan werden tav onze tekst naast ons neer hebben gelegd. Grote fouten hebben we niet gemaakt dus per saldo is de (meetbare) invloed nul geweest. In hoeverre dit meelezen ons onbewust gestuurd heeft is moeilijk te zeggen.

In jouw geval zou ik duidelijk maken dat je aanwijzingen van het bedrijf in kwestie zult interpreteren als suggesties en dat je niet persé de op- en aanmerkingen zult verwerken. Het is allemaal niet zwart/wit. Het kan best dat jij dingen wilt publiceren die niet direct nodig zijn voor je verhaal, maar waarvan het bedrijf liever niet ziet dat ze gepubliceerd worden. Lastig om zo 1-2-3 een voorbeeld te bedenken maar laten we stellen dat jij in je publicatie de omzet van het bedrijf noemt en dat dit niet essentieel is voor de beschrijving van de case. Als het bedrijf een familiebedrijf is en niet verplicht is de jaarcijfers te publiceren, kan ik me voorstellen dat ze je vragen dat eruit te halen.

... en gaat over tot de orde van de dag

woensdag 24 mei 2017 13:18

Acties:

0 Henk 'm!

eric.1

Of je in je recht staat weet ik niet.

Maar als zij netjes het traject met je hebben doorlopen en je een compensatie krijgt zou ik het niet gek vinden als je wel een rekening houd met dat bedrijf.

Ik kan mij goed voorstellen dat een bedrijf enigsinds "bang" is voor wat jij wilt publiceren en hoe jij dat dan gaat publiceren. Alleen al jouw schrijfstijl kan een vreemd beeld schetsen (voorbeeld), laat staan verdere details van het lek en de impact ervan.

Hebben ze trouwens aangegeven waarom ze huiverig zijn? Als je van tevoren aangeeft wat ze van jouw publicatie kunnen verwachten (en belangrijker...wat je NIET meeneemt in je publicatie) kan dat misschien wat druk/onzekerheid bij dat bedrijf al wegnemen?

Zelf heb ik verschillende lekken/kwetsbaarheden gemeld. Nooit gepubliceerd (werd trouwens gewaardeerd). Geen behoefte aan. Wel afgesproken dat ik, mocht het ooit van pas komen, de melding (geen zeer specifieke details) kan gebruiken als referentie ("werk"ervaring / cv).

Trouwens...kan je je a.u.b. je even verdiepen in onze "vrijheid van meningsuiting"? Dit random roepen als argument is zeer onprofessioneel en in dit geval mogelijk zelfs incorrect. Het is geen vrijheid om maar te doen wat je maar wilt...