Datalek gevonden maar nog steeds geen oplossing; Hoe verder?

Ik heb anderhalve maand geleden een datalek gevonden waarmee ik complete bestellingen en persoonsgegevens uit een systeem van een internationale retailer kon halen. Ook mijn gegevens zitten er in en de bestellingen hebben een persoonlijke tint. Ik heb dit probleem naar beste kunnen gemeld en opgepakt met de desbetreffende partij. Ik heb daar in het begin regelmatig contact over gehad en het werd ook, zeker de eerste dagen, zeer direct opgepakt.

Inmiddels is mij 4 weken geleden beloofd dat er een security fix klaar stond en dat deze enkel nog getest diende te worden en dan op korte termijn online ging. Daarbij werd ik nogmaals vriendelijke bedankt en kreeg ik de melding dat er punten op mijn account waren gestort als beloning. Deze mail gaf mij het gevoel dat daarmee de kous af was wat betreft communicatie.

Ik denk nog meerdere malen per week aan dit lek en kijk regelmatig of het lek nog aanwezig is. Ook dit probleem zit hem in een Demandware shop en is vergelijkbaar met Blokker maar vergt net wat meer technische kennis. Wat ik begrijp is het custom code en/of een plugin.

Als ik het Blokker artikel lees en ik lees dan de claim dat het direct dezelfde dag is opgelost, dan vraag ik me af wat de partij waar ik mee bezig ben aan het doen is.

Ik zit een beetje in de knoop hoe nu verder. Moet ik de partij gewoon nog wat meer tijd geven? Moet ik gewoon om een simpele update vragen en het daarbij laten? Of zou ik om een update moeten vragen en het Blokker artikel als referentie moeten gebruiken? Ik wil echter ook weer niet dreigend over komen.

Het lijkt er op dat als je media inschakelt, het veel sneller opgelost krijgt, maar ik heb eigenlijk geen zin in potentiële problemen op mij als persoon. Ik denk namelijk dat als dit lek publiekelijk wordt, ik direct als oorzaak daar van gezien wordt.

Iemand die een zinnig advies voor me heeft?

Ik geloof dat ze actief zijn in meer dan 10 landen. Ik weet niet of alle landen hetzelfde probleem hebben of er verschil zit in systemen.

Op basis van mijn eigen "onderzoek" bestaat het probleem ruim 2 jaar. Ik neem aan dat het nooit eerder gemeld is, dus als het nu 2x gemeld wordt in zeer korte tijd (het zij via publeaks) is het niet zeker maar mogelijk aannemelijk dat ik het ben.

Daarbij gaan de bestellingen ook niet zo zeer om spullen zoals een pan en een mixer a la de Blokker. Ik denk dat er mogelijk mensen zijn die liever ook niet de bestelling publiekelijk hebben. Ik heb er geen moeite mee, maar het is dus zo ver mijn probleem dat ik er ook in zit. Meerdere malen.

Laat ik even een aantal vragen / opmerkingen globaal beantwoorden;

Ik ben geen security researcher. Ik heb echter een sterke development achtergrond en heb de implementatie van ISO 27001 verzorgd bij de onderneming waar ik nu actief ben. Enig gevoel met security en privacy is dus wel aanwezig en ik hecht daar tot op zeker hoogte ook veel waarde aan. Mijn naam deert niet zo, zolang het maar niet negatief is

Responsible Disclosure was niet aanwezig. Ik heb gewoon het hoofdkantoor gebeld en vanuit daar zat ik binnen een half uur met de juiste mensen om de virtuele tafel. Er zijn geen enkele afspraken of wat dan ook gemaakt. De beloning die ik heb mogen ontvangen was ook niet gevraagd maar puur vanuit de organisatie gekomen als dank. In dat opzicht zijn er dus 0 afspraken en heeft ieder maar "wat gedaan".

Mijn eigen gegevens staan meermaals in het systeem. Dat is mijn belang. Daarnaast vind ik het vervelend voor de andere mensen waar zo maar de gegevens van op straat kunnen komen te liggen. Dat is wellicht niet mijn probleem en verantwoordelijkheid, maar ik ervaar het wel als vervelend.

kodak schreef op zaterdag 13 februari 2021 @ 18:29:
Er lijken een aantal belangrijke vragen niet beantwoord te zijn. Ten eerste is niet duidelijk of ze zich bewust zijn dat er binnen de EU strenge wetgeving is over het hebben en oplossen van een datalek. Daarbij is het ook nodig dat het bedrijf weet dat er niet pas een lek is als ze massaal verkeerd gebruik gezien hebben.

Je melding zou wat wetgeving betreft al voldoende moeten zijn om het lek direct te stoppen. Dat ze tijd hebben om het op te lossen is geen redelijke reden dat het nog gebruikt kan worden.

Het lijkt me normaal dat als je met elkaar afspreekt dat een bedrijf een lek gaat verhelpen dat je er contact over blijft hebben. Als ze aangegeven hebben wat tijd nodig te hebben om met een oplossing te komen dan is het redelijk om ook die tijd te geven, maar dan kan je best eens in de paar weken vragen wat de status is als ze niet willen aangeven hoe lang het gaat duren. Zeker als ze het lek kennelijk pas willen verhelpen als ze een oplossing hebben (laten) maken. Het probleem is niet de uiteindelijke oplossing, maar dat het lek zo snel mogelijk niet meer misbruikt kan worden.

Ik denk dat je dus het beste weer even contact met ze kan opnemen om te vragen of ze al maatregelen hebben genomen om de schade voor de klanten te beperken en wat de verwachting is om het geheel op te lossen. Daarbij kan je ze ook vragen of ze melding hebben gedaan bij de toezichthouder in de EU.

Het feit dat ze een Data Security & Privacy Officer in dienst hebben en er meerdere mensen werken met een titel waar het woord "security" in voor komt, doet vermoeden dat er toch wel enige kennis van aanwezig is. Maar goed, je weet nooit.

Voor mij is exact het punt wat jij benoemd; Je wil zo'n lek zo snel mogelijk dichten. Gezien het lek in een sub systeem zit en niet in het daadwerkelijke bestelsysteem, zou mij vermoeden dat het toch een stuk makkelijker maakt om al dan niet iets tijdelijks te fixen. Het simpelste is zelfs om de persoonsgegevens weg te halen. Ik weet vrij zeker dat dit geen afbreuk doet aan de functionaliteit die ze aanbieden.

Ik neem je laatste alinea als basis voor nog een eenmalige mail die kant uit.