Toon posts:

Datalek webapplicatie: advies gevraagd bij telefoononderzoek

Pagina: 1
Acties:

donderdag 5 oktober 2023 19:10

Acties:
  • 0 Henk 'm!
  • focussamen
  • Registratie: Oktober 2023
  • Laatst online: 06-10-2023

focussamen

Topicstarter
Beste forumleden,

Ik heb kritische datalekken in een Australische webapplicatie die landelijk opereert ontdekt. Ik heb dit specifieke geval besproken met de Australische ambassase uit Den Haag voor advies mbt effecieve afhandeling en heb kort overlegd met de Nederlandse politie, m.b.t. cybercriminaliteit. De politie heeft telefonisch bevestigd dat ik de juiste stappen onderneem in de afhandeling van deze case.

Voor een grondige en snelle afhandeling van deze kwestie is het van cruciaal belang dat ik Australische telefoonnummers bel bellen om te verifiëren of deze nummers daadwerkelijk toebehoren aan de personen die de bestellingen volgens de database hebben geplaatst.
Zodat ik het datalek objectief vast stel.

Ik heb reeds 30 klanten per email benaderd die in de database stonden vermeld. Het is opmerkelijk dat mijn mijn e-mails niet zijn teruggestuurd geen "bounced" e-mails ( https://nl.checkmarket.com/kb/wat-zijn-bounced-mails/). Als mijn telefoononderzoek het datalek positief wordt bevestigd is dit relevant voor mijn carrière.

Vragen:

Hoe en via welke welke VPN) software ik gratis vanuit Nederland zowel mobiele als vaste Australische telefoonnummers via Windows-software om de kernvragen te beantwoorden.
Had t idee om via een Australische vpn verbinding te maken met internet en dan via Google Vocie te bellen door het ontbreken van de gratis VPN via Australië weet ik niet of dit de effectieve oplossing is.
Of dat er een betere is,die aan de eisen voldoet.

In het geval van een objectieve bevestiging van het landelijke datalek, streef ik ernaar een officiële bevestiging te ontvangen van de Australische autoriteiten om mijn bevindingen te onderbouwen. Welke onderbouwing is dan relevant voor de Nederlandse arbeidsmarkt ?
Zodat het datalek is bevestigd welke financiële arbeidsmarktrelevante vergoeding is dan gepast? Hoe wordt de hooggte vastgegeld ?
Wat is in deze gangbaar en relevant voor de Nederlandse arbeidsmarkt ?

Stel dat mijn optie om via vpn en google voice faalt. Hoe kneed ik de Nederlandse ambasade in Australie dan dat ze mij met de juiste beleidspersoon uit Australie in contact brengen ipv een foumulier waarbij je vanaf nul begint met de melding ?

Alle suggesties en inzichten worden op prijs gesteld.

donderdag 5 oktober 2023 19:19

Acties:
  • +5 Henk 'm!
  • P_de_B
  • Registratie: Juli 2003
  • Niet online

P_de_B

M.i. ben je al veel te ver gegaan door het ophalen van 30 (!) e-mailadressen en deze actief te benaderen. Als jij een lek (denkt) vast te stellen informeer je de organisatie die het betreft. Ik zie het cruciaal belang niet dat jij ook nog mensen gaat bellen?

Misschien "leuk" voor je carrière, maar wat mij betreft ga je te ver. Het belang om de getroffenen zo snel mogelijk te beschermen zou groter moeten zijn.

Hebben ze een security.txt? Misschien doen ze mee aan een bug bounty programma?

Oops! Google Chrome could not find www.rijks%20museum.nl

donderdag 5 oktober 2023 20:57

Acties:
  • +1 Henk 'm!
  • D-dark
  • Registratie: Januari 2008
  • Laatst online: 11:58

D-dark

Waar je rekening mee moet houden is dat uit een datalek verschillende acties volgen vanuit Europse regelgeving. Maar we hebben het hier over een australische app. Die valt niet onder Europees stappenplan.
Daarvoor heb je de Australische ambassade geïnformeerd en evt zou je het bedrijf van de app kunnen benaderen.

Maar het bellen van de personen is niet jouw verantwoordelijkheid.

donderdag 5 oktober 2023 21:09

Acties:
  • +1 Henk 'm!
  • Blokker_1999
  • Registratie: Februari 2003
  • Laatst online: 23-09 21:10

Blokker_1999

Full steam ahead

De webapp, daar zit een bedrijf achter. Dat is in de basis de enige die je moet inlichten. Als het lek ernstig genoeg is en het zit je dwars kan je, nadat je de eigenaar van de app hebt verwittigd en een periode van enkele weken tot maanden hebt gegeven om dit lek te dichten eventueel nog de pers inlichten, zij het om druk te zetten als men het niet oplost, zij het om het nieuws wereldkundig te maken als het publiek daar belang bij heeft.

Als jij zelf in de data gaat beginnen zoeken en zelf mensen gaat beginnen te benaderen dan bestaat de kans dat je zelf ook privacywetgeving aan het schenden bent, dat er in de basis geen sprake meer is van responsible disclosure en dat de eigenaar van de app jouw gaat belonen met een rechtzaak.

Je stelt op het einde van je post de vraag welke vergoeding gepast is. Het enige antwoord hierop is: geen. Als je een lek vindt en dit meld heb je nergens recht op. Het is geen hackathon waarbij het doel is om in software in te breken en als de eigenaar van de app geen bug bounty programma heeft of als het er wel is en je hebt de regels niet gevolgd, dan is er simpelweg geen vergoeding.

Als je dit lek ontdekt hebt als onderdeel van je job, dan heb je gewoon je job gedaan, waarom zou daar een bijkomende vergoeding tegenover moeten staan. Als je dit lek wenst te gebruiken om je job verder vooruit te helpen, wees dan aub voorzichtig met wat je doet met de gevonden data, want als er geen rules of engagement zijn ben je mogelijks al veel te ver gegaan en kan je dat net in problemen brengen.

En als het de bedoeling is een carriere in de richting van pentester/ethish hacker te gaan ontwikkelen, dan zou ik me zeker inlezen in de ethiek die er rond komt kijken.

No keyboard detected. Press F1 to continue.

donderdag 5 oktober 2023 21:53

Acties:
  • +1 Henk 'm!
  • BytePhantomX
  • Registratie: Juli 2010
  • Laatst online: 23-09 16:43

BytePhantomX

Nu is er een bekende Australiër die zich bezighoudt met datalekken: Troy Hunt van haveibeenpwnd. Misschien hem benaderen om te zien of hij wil assisteren? Beste route is via Twitter.

zondag 8 oktober 2023 23:11

Acties:
  • 0 Henk 'm!
  • bw_van_manen
  • Registratie: April 2014
  • Laatst online: 15-09 08:50

bw_van_manen

BytePhantomX schreef op donderdag 5 oktober 2023 @ 21:53:
beste route is via Twitter.
Mijn ervaring is dat hij ook op email binnen een dag reageert. Er staat wel een disclaimer op zn site met vragen en meldingen die hij geen reactie waard vindt.

zondag 8 oktober 2023 23:16

Acties:
  • 0 Henk 'm!
  • m-vw
  • Registratie: Mei 2013
  • Laatst online: 11:43

m-vw

GEZOCHT: De Kluts

focussamen schreef op donderdag 5 oktober 2023 @ 19:10:
Beste forumleden,

Ik heb kritische datalekken in een Australische webapplicatie die landelijk opereert ontdekt. Ik heb dit specifieke geval besproken met de Australische ambassase uit Den Haag voor advies mbt effecieve afhandeling en heb kort overlegd met de Nederlandse politie, m.b.t. cybercriminaliteit. De politie heeft telefonisch bevestigd dat ik de juiste stappen onderneem in de afhandeling van deze case.

Voor een grondige en snelle afhandeling van deze kwestie is het van cruciaal belang dat ik Australische telefoonnummers bel bellen om te verifiëren of deze nummers daadwerkelijk toebehoren aan de personen die de bestellingen volgens de database hebben geplaatst.
Zodat ik het datalek objectief vast stel.

Ik heb reeds 30 klanten per email benaderd die in de database stonden vermeld. Het is opmerkelijk dat mijn mijn e-mails niet zijn teruggestuurd geen "bounced" e-mails ( https://nl.checkmarket.com/kb/wat-zijn-bounced-mails/). Als mijn telefoononderzoek het datalek positief wordt bevestigd is dit relevant voor mijn carrière.

Vragen:

Hoe en via welke welke VPN) software ik gratis vanuit Nederland zowel mobiele als vaste Australische telefoonnummers via Windows-software om de kernvragen te beantwoorden.
Had t idee om via een Australische vpn verbinding te maken met internet en dan via Google Vocie te bellen door het ontbreken van de gratis VPN via Australië weet ik niet of dit de effectieve oplossing is.
Of dat er een betere is,die aan de eisen voldoet.

In het geval van een objectieve bevestiging van het landelijke datalek, streef ik ernaar een officiële bevestiging te ontvangen van de Australische autoriteiten om mijn bevindingen te onderbouwen. Welke onderbouwing is dan relevant voor de Nederlandse arbeidsmarkt ?
Zodat het datalek is bevestigd welke financiële arbeidsmarktrelevante vergoeding is dan gepast? Hoe wordt de hooggte vastgegeld ?
Wat is in deze gangbaar en relevant voor de Nederlandse arbeidsmarkt ?

Stel dat mijn optie om via vpn en google voice faalt. Hoe kneed ik de Nederlandse ambasade in Australie dan dat ze mij met de juiste beleidspersoon uit Australie in contact brengen ipv een foumulier waarbij je vanaf nul begint met de melding ?

Alle suggesties en inzichten worden op prijs gesteld.
Je hebt al te vel gedaan.

Bedrijf inlichten en dan stopt het.

Bij het uitblijven van een reactie zou je naar de pers kunnen stappen, Troy Hunt is dan zeker een goede optie.

Garmin FR245M + HRM-RUN

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq