Ernstig lek gevonden, en nu?
Mijn bedoeling is niet om schade toe te brengen of om privacy te schenden maar het ging er meer om dat meer dan 1000 webshops dat systeem hebben aangekocht en nu een probleem hebben.
Nu is mijn vraag wat ik beter kan doen, naar het bedrijf stappen wat het script heeft gemaakt of naar de webshop eigenaren gaan? En moet ik dit anoniem doen of gewoon onder mijn eigen naam? En wat als ze het niet interreseert? Naar de media stappen, of alleen dreigen om naar de media te stappen?
Ik ga geen gegevens van het desbetreffende bedrijf, de webshops of de naam van het syteem vrijgeven.
Gewijzigd op 24/10/2011 22:16:23 door Bram Boos
Ook zou ik er op aandringen dat ze bij de volgende update alle plaintext-passwoorden vernietigen en de gebruikers een nieuwe laten geven. Het verbaast me dat er nog steeds laks om wordt als het om beveiliging gaat van webshops en scripts die erop draaien.
De webshopeigenaren moet je niet benaderen, die kunnen er vaak niks aan doen en ga jij eventjes 1000 mails sturen naar hen? Dat bedrijf moet gewoon asap een update uitbrengen.
Die hebben deze maand "lektober" waarin allerlei lekken van bedrijven en instellingen aan de kaak worden gesteld. Als je het naar hem stuurt, komt het misschien zomaar in het nieuws :)
http://blog.webwereld.nl/2011/10/04/lektober-missie-nu-al-volbracht/#utm_source=Webwereld&utm_medium=Website&utm_campaign=front_blog_1
Ozzie PHP op 24/10/2011 22:29:06:
Wellicht een mailtje sturen naar Brenno de Winter van webwereld.nl?
Die hebben deze maand "lektober" waarin allerlei lekken van bedrijven en instellingen aan de kaak worden gesteld. Als je het naar hem stuurt, komt het misschien zomaar in het nieuws :)
http://blog.webwereld.nl/2011/10/04/lektober-missie-nu-al-volbracht/#utm_source=Webwereld&utm_medium=Website&utm_campaign=front_blog_1
Die hebben deze maand "lektober" waarin allerlei lekken van bedrijven en instellingen aan de kaak worden gesteld. Als je het naar hem stuurt, komt het misschien zomaar in het nieuws :)
http://blog.webwereld.nl/2011/10/04/lektober-missie-nu-al-volbracht/#utm_source=Webwereld&utm_medium=Website&utm_campaign=front_blog_1
Wil je 1.000 klanten van dat bedrijf duperen? Geef eerst het bedrijf even de tijd om het te fixxen en het op te lossen. Als ze laks reageren, kan je altijd nog het in de media gooien, hoewel het altijd de vraag is wat de uitwerking is.
Gewijzigd op 24/10/2011 22:33:42 door - Ariën -
Ik heb er over na zitten denken om naar webwereld te stappen maar het gaat nooit lukken om al die webshops te updaten voor het einde van oktober.
Bram, ik vindt het wel interessant om te weten hoe je bent 'binnengekomen'. Uiteraard wordt het bedrijf niet vermeld! :)
Ik vermoed een simpele(?) SQL injection. ;-)
Om te beginnen heb je iets gedaan wat strafbaar is, hoe edel je motieven ook zijn. Je hebt iets gedaan waardoor er nu een enorme verantwoording op je rust. Je moet op korte termijn de maker/bedrijf van de websoftware inlichten en hen zeer kort de tijd geven om te reageren waarbij je zou kunnen laten merken dat je webwereld/lektober in gaat lichten. Wanneer je onvoldoende reactie krijgt zou je toch ook maar beter de betreffende webwinkel kunnen inlichten. Nogmaals, je hebt iets gedaan wat strafbaar is, vergelijk het met een openstaande bankkluis waaruit je ook niet zomaar de inhoud mee mag nemen.
Aad, je maakt het spannender dan het is. Er is nog niks strafbaars gebeurd. Bram heeft een lek geconstateerd. That's it.
Als je naar het bedrijf gaat zou ik er wel gewoon een vergoeding voor vragen voor het vrijgeven van informatie. Dat is heel normaal en in dit soort zaken moet je niet te sociaal zijn. Jij bent helemaal niet verplicht de informatie aan hun verschaffen.
En gelukkig is er in Nederlands persvrijheid dus je mag ook naar de media stappen, ik denk ook wel dat zij jou erin begleiden wat wel en niet kan. Het kan overigens goed zijn voor je imago voor als je gaat freelancen of een bedrijf start. Erik Duindam is ook naar de media gestapt nadat hij een lek gevonden had in de Microsoft site en dat heeft hem niet slecht gedaan zullen we maar zeggen.
Mocht je toch bang zijn zorg in iedergeval dat je een goede rechtsbijstand verzekering hebt haha ;)
óf
Vanavond in Pauw en Witteman: Bram Boos vertelt over digitaal lek en gevolgen voor privacy.
:)
Bram, direct contact opnemen met de ontwikkelaar is het het netste wat je kunt doen. Op het moment dat zij hier binnen een redelijke tijd (2 weken) niet op hebben gereageerd, herinnering sturen. Nog steeds niets? Publiekelijk kenbaar maken :-)
Verder is pastebin.com ook echt een goede oplossing, hoor ;)
Chris Horeweg op 25/10/2011 13:07:39:
Bram, direct contact opnemen met de ontwikkelaar is het het netste wat je kunt doen. Op het moment dat zij hier binnen een redelijke tijd (2 weken) niet op hebben gereageerd, herinnering sturen. Nog steeds niets? Publiekelijk kenbaar maken :-)
Het gaat om een ernstig lek, ik zou zeggen 2 DAGEN.
Ozzie PHP op 25/10/2011 09:41:05:
@Ozzie: het strafbare feit is het volgende. TS zegt: Het lek is zelfs zo groot dat ik gebruikersgegevens van meer dan 7000 mensen heb en daar staan de wachtwoorden als plaintext in. Dit is zonder meer een strafbaar feit hoe edel de hackers motieven ook zijn!! Indien gewenst kan ik de betreffende wetsteksten wel aanleveren!Aad, je maakt het spannender dan het is. Er is nog niks strafbaars gebeurd. Bram heeft een lek geconstateerd. That's it.
Edit:
Er wordt hier veel te lichtzinnig over gedacht.
Gewijzigd op 25/10/2011 19:06:37 door Aad B
Aad B op 25/10/2011 19:03:37:
Ozzie PHP op 25/10/2011 09:41:05:
@Ozzie: het strafbare feit is het volgende. TS zegt: Het lek is zelfs zo groot dat ik gebruikersgegevens van meer dan 7000 mensen heb en daar staan de wachtwoorden als plaintext in. Dit is zonder meer een strafbaar feit hoe edel de hackers motieven ook zijn!! Indien gewenst kan ik de betreffende wetsteksten wel aanleveren!Aad, je maakt het spannender dan het is. Er is nog niks strafbaars gebeurd. Bram heeft een lek geconstateerd. That's it.
Edit:
Er wordt hier veel te lichtzinnig over gedacht.
[/quote]
[/quote]
een goeie advocaat kan je hiermee een flinke boete aanlullen.
In het kader van "risico beperking" van het vrijkomen van privacy gevoelig zal het recht in het voordeel van Bram uitpakken. Recent voorbeeldje. Alberto Stegeman van Undercover in Nederland heeft een spermadonor met een erfelijke overdraagbare aandoening betrapt en in beeld gebracht. De betreffende persoon wilde de uitzending voorkomen vanwege de schending van de privacy. De rechter oordeelde anders, namelijk dat het maatschappelijk belang en het beschermen van burgers prevaleert. In dit geval idem dito. Recht bestaat welisaar uit wetten en regels, maar draait daarnaast ook om redelijkheid en billijkheid. Dus voor Bram niks aan de hand.
Het hangt ervan af welke recher je treft, de een kan soms veel meelevender zijn dan de ander die je met een glimlach een boete aansmeert omdat hij zo'n hekel heeft aan facebook omdat per ongeluk zijn geheime relatie met iemand daarop kwam te staan:)
Victor - op 25/10/2011 19:55:45:
Het hangt ervan af welke recher je treft
Dat zal in de praktijk nogal meevallen, ook al doet men in de media graag anders geloven. In dit geval is de uitkomst duidelijk.
Artikel 138ab
1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
a. door het doorbreken van een beveiliging,
b. door een technische ingreep,
c. met behulp van valse signalen of een valse sleutel, of
d. door het aannemen van een valse hoedanigheid.
Je moet je vooraf heel goed indekken om er onderuit te komen en lektober en Alberto Stegeman dekken zich vooraf in, documenteren vooraf en lichten vooraf veelal jusitie in.