Wat te doen bij gevonden datalek

Ik heb vandaag bij een redelijk groot bedrijf een datalek gevonden. In het kort komt het erop neer dat wachtwoorden plaintext worden verstuurd én dat de Symfony Profiler niet afgeschermd is.

Wanneer je in de profiler je request opzoekt vind je plaintext je inloggegevens. Echter kun je andere requests ook inlezen waardoor je de gebruikersnaam en wachtwoorden van andere personen ook plaintext kunt lezen.

Buiten inlog-request kun je ook registratie-requests vinden waarbij meer gegevens zichtbaar zijn zoals naam en telefoonnummer.

Nu wil ik hier netjes melding van maken, maar ik ben toch even benieuwd hoe ik dit aan moet pakken om te voorkomen dat dit backfired. Want zij kunnen ook zeggen dat ondanks dat ze de achterdeur open hebben laten staan, ik niet zomaar binnen mag komen. Laten we vooropstellen dat ik geen kwaad in de zin had, ik heb puur uit nieuwgierigheid de requests van de app bekeken met een Packet Sniffer app op Android.

Ik ben van plan een mail te sturen naar het betreffende bedrijf. Hierover een aantal vragen:
- Hoeveel 'bewijs' mag ik meesturen (uiteraard de logins/password deels onleesbaar gemaakt) om het punt te maken, zonder dat ik zelf last krijg dat ik teveel heb bekeken
- Kan dit gewoon uit eigen naam (en emailadres), of kan het beter anoniem
- Wat is een redelijke termijn om te stellen dat ze het probleem oplossen alvorens ik bijvoorbeeld het AP inlicht

Alvast bedankt voor het meedenken.

Tens schreef op zondag 19 augustus 2018 @ 19:08:
Dit niet afdoende?

https://datalekken.autori...ens.nl/melding/aanmaken?0

Wanneer ik een melding bij het AP wil doen is dit de manier inderdaad, mijn vraag ging echter over de melding doen bij het bedrijf zelf. Welke info, anoniem of niet, welke deadline.

gasemans schreef op zondag 19 augustus 2018 @ 19:16:
Mailtje naar hun algemene mail adres sturen met verzoek voor contact informatie van hun ict security man.

Kon ik niet direct vinden. Bleek op de website dat ik in de lange lijst van vestigingen ook ergens 'hoofdkantoor' kon kiezen op een niet logische plek (niet bovenaan, niet op alfabetische volgorde). Inmiddels het emailadres gevonden

MAX3400 schreef op zondag 19 augustus 2018 @ 19:17:
[...]

Morgen gewoon even bellen met het bedrijf rond 09:00?

Leuk dat je mogelijk anoniem of met een deadline wil werken. Maar wat heb jij aan die deadline? Klinkt meer als een impliciete chantage "als je het niet komende week oplost, stap ik naar die en die". En hoe anoniem ben je tegenwoordig nog; een beetje forensisch expert heeft met een weekje je adres en dergelijke.

Speel open kaart; bel ze; vraag me spoed naar de hoogste verantwoordelijke want datalek geconstateerd en leg in 10 zinnen uit wat jij gezien hebt en hoe ze eventueel verdere info van je kunnen krijgen?

Het bedrijf zelf heeft geen telefoonnummer (volgens de site). Ik heb de lokale vestiging gebeld en een emailadres speciaal voor die app gekregen. Ook zij hadden geen telefoonnummer. Inmiddels heb ik ook een algemeen emailadres gevonden. De deadline is niet bedoeld als chantage. Meer dat ik me ervan bewust ben dat het AP ook op de hoogte gesteld mag/moet worden. Echter zie ik liever dat het bedrijf het snel oplost voordat we die kant op gaan. Er is een foutje gemaakt, kan gebeuren, dan mogen ze dat oplossen zonder gelijk allemaal meldingen bij waakhonden, toch? De deadline is meer voor mezelf dat ik een indicatie heb als er nog geen verandering is binnen x dagen, dat ik dan wél de AP inschakel.

GlowMouse schreef op zondag 19 augustus 2018 @ 19:18:
nieuws: OM vervolgt man voor computervredebreuk na ontdekking datalek

Precies daarom mijn vragen ;-)

eric.1 schreef op zondag 19 augustus 2018 @ 19:24:
Redelijk groot bedrijf; hebben ze geen Responsible disclosure-beleid?

Niet op de website. Alleen de standaard 'we nemen de beveiliging van je gegevens serieus' text in de privacy policy. Hier echter ook het mailadres gevonden als er vagen zijn over de beveiliging van de gegevens.

Jaïr.exe schreef op zondag 19 augustus 2018 @ 19:32:
Je hoeft naar mijn mening geen ''bewijs'' te sturen in de vorm van andermans gegevens. Je eigen inlog gegevens zijn al afdoende om dit aan te tonen. Dit hoeft niet anoniem en stel je kon andermans gegevens eventjes inkijken, dan geef je dit aan zodat zij iedereen kunnen forceren om het oude wachtwoord te wijzigen.

Het is niet verboden om je eigen dataverkeer te monitoren. De conclusies die je daaruit haalt en praktisch hebt getoetst kon in principe door iedereen gevonden worden.

Zou zeggen geef ze een belletje om een contactpersoon te krijgen binnen hun ICT afdeling waarnaar je de dingen kan mailen. Vraag ook even of het oke is dat je het lek mag doorgeven of vermelden op je website/cv/blog etc voor erkenning. Uiteraard enkel nadat dit lek verholpen is.

Dit is een beetje de reactie waar ik nu het meest mee kan. En tevens ook redelijk samenvat wat verschillende gebruikers gezegd hebben.

Inmiddels de volgende mail uitgestuurd vanaf mijn eigen emailadres:

Beste,

Vandaag heb ik een datalek vastgesteld met betrekking tot jullie nieuwe [naam van app] app. Graag wil ik jullie via deze weg informeren zodat de nodige maatregelen genomen kunnen worden.

1. Gegevens voor registeren, inloggen en updaten van profile worden onversleuteld en plain-text verzonden. Bijvoorbeeld de login-request:
a. http://[ipadres:port]/api/client/login?email=[mijnemail]&password=[mijnpassword]
2. De Profiler van jullie Symfony framework is niet afgeschermd. Op deze website kan ik niet alleen mijn eigen requests terugvinden, maar ook die van andere personen. De gegevens die hiermee gevonden kunnen worden zijn allemaal onversleuteld en plain-text. Het gaat bijvoorbeeld om naam, telefoonnummer, emailadres en gekozen password

Gezien dit probleem zou ik jullie ook willen vragen om een mogelijkheid tot het aanpassen van mijn eigen wachtwoord. Ik heb noch in de app, noch op de website deze mogelijkheid gevonden.

Ik zie jullie reactie graag tegemoet.

Met vriendelijke groet,
Belindo

Nou, zondag gemaild. En vandaag is de melding doorgezet naar de developer. Deze koppelt terug dat voor het ene punt "de verandering zijn al op de server gezet" en hij voor het andere punt "wacht nog eerst op de reactie van apple zo dat ik ze kan toevoegen". Geen idee wat daarmee bedoeld wordt. Meer dan een kwestie van alles via SSL laten lopen en die Profiler afschermen lijkt het mij niet. Of onderschat ik de tijd die hiermee gemoeid is? Ondertussen staat de boel nog wagenwijd open.