Origineel gepost door Chris Horeweg

Het heeft te maken met klantgegevens in die zin. Het is niet een of andere nieuwe exploit die op ieder systeem van toepassing is, maar het is een methode die op onwijs veel (web)applicaties kan worden toegepast. Er zijn maar weinig websites en webwinkels die dat risico inzien en zich er tegen beveiligen.

De publicatie zelf bevat geen code of een handleiding om dit uit te voeren, maar geeft wel een advies hoe dit tegen te gaan. Doordat de 15 websites worden genoemd hoop ik in die zin voornamelijk druk te leggen op ontwikkelaars en bedrijven om er wat tegen te doen, aangezien er nu véél te weinig aandacht aan wordt gegeven..

Lastig, vooral omdat u vanuit een eigen beveiligingsbedrijf opereert, vooral omdat een bedrijf een makkelijkere prooi is verwacht ik enige terugslag.

Het is wat mij betreft gewoon een kwestie van om de tafel zitten met een klokkenluider en afspreken dat uw bedrijf als expert aan het woord komt als u de info aan diegene levert. Want ik neem aan dat het om publiciteit voor uw eigen bedrijfsnaam gaat.

Als dit als nieuwsartikel naar buiten komt dan zou ik (zoals hierboven ook al aangegeven) naar NVJ stappen: http://www.nvj.nl/vraagbaak/

Beste Chris,

Dit is een moeilijk geval! Laatst was het nog in het nieuws van een 21jarige jongen die dit ook gedaan heeft maar uiteindelijk wel problemen ervan heeft gekregen.. Was al even hard opzoek waar ik dit persbericht nou las!

Zodra ik het gevonden hebt, zal ik he toevoegen aan het topic.. Maar misschien is het een idee om naar benno toe te stappen die krijgt Nederland wel aan het wapperen, daarbij is het misschien meteen een mooie samenwerking met het team van Benno!

Maar ja wil je dat? Dat is natuurlijk de volgende vraag;)

Succes ben erg benieuwd!

Ondertussen genoeg mogelijkheden voor het plaatsen van het nieuwsbericht omtrent het onderzoek, maar nog te weinig juridische informatie om te kunnen bepalen of het onderzoek uberhaupt mag worden gepubliceerd.

Origineel gepost door Chris Horeweg

Ondertussen genoeg mogelijkheden voor het plaatsen van het nieuwsbericht omtrent het onderzoek, maar nog te weinig juridische informatie om te kunnen bepalen of het onderzoek uberhaupt mag worden gepubliceerd.

Eigenlijk is het heel simpel. Juridisch gezien mag jij je op geen enkele manier toegang verschaffen tot data op websites waarvoor je geen toestemming hebt. (Je mag dus zelfs geen url manipuleren). Vanaf dat moment heb je de wet namelijk al gebroken en ben je in principe al strafbaar.

Het gaat uiteindelijk om het feit of iemand ook besluit om een strafzaak tegen je beginnen en dat heb je vaak zelf in de hand maar niet altijd. Het ongevraagd naar buiten brengen van lekken in sites om je eigen bedrijf te profileren is zowat het slechtste wat je kunt doen en kan je ronduit je naam kosten en in het slechtste geval je een aanvaring met de lange (slappe) arm van de wet bezorgen.

Wat je beter kunt doen is gewoon de eigenaren van de betreffende sites op de hoogte brengen en hopen dat ze je dankbaar zijn en het probleem oplossen. Mogelijk krijg je daarna toestemming om dat (in overleg met de eigenaar) dat punt commercieel te verwoorden en op je site te plaatsen.

Een full disclosure zonder de eigenaren op de hoogte te brengen (en kans te geven om het probleem op te lossen) en derden dus vrij spel te geven op een site gaat niemand je in dank afnemen natuurlijk. Dat is leuk als je '1334dude' heet en inlogt vanuit afganistan... niet als je Chris Horeweg heet en iedereen je kan vinden :)

John, bedankt voor je antwoord! Het is alleen in dit geval niet zo zwart/wit te zien. Het is een indirecte manier (cq theorie) om uiteindelijk (met de nadruk op uiteindelijk) een datalek te veroorzaken.

Waarschijnlijk worden de getroffen websites wel vooraf op de hoogte gebracht, maar als er moet worden gewacht totdat zij dit hebben opgelost kan de publicatie waarschijnlijk pas volgend jaar plaatsvinden (een volledige responsible disclosure wacht tot alles is opgelost).

Daarentegen gaat het niet om deze websites. De websites worden alleen als voorbeeld gegeven, om aan te geven dat het "probleem" op veel websites aanwezig is. Ik wil er een discussie over aanwakkeren, omdat ik al jaren tegen dit probleem aanloop en er op bizar weinig websites aandacht aan wordt gegeven.

Het onderzoek zelf heeft geen commercieële insteek. Ja, het onderzoek is gedaan door mijzelf "in opdracht van" SiteSafe. Er wordt een advies vanuit SiteSafe gegeven om het probleem op te lossen, en er is een link geplaatst voor vragen, opmerkingen en reacties. Het onderzoek sluit op deze manier af:

Dit onderzoek is gericht op de algemene veiligheid van webapplicaties en is geschreven om de algemene onveiligheid van inlogsystemen te omschrijven. Dit onderzoek is dan ook niet gericht op een van de in dit onderzoek genoemde websites/bedrijven. SiteSafe is van mening dat er een publiekelijk belang is bij het publiceren van dit onderzoek.

Het enige commercieële eraan is het persbericht om het onderzoek zelf!

Ik zou ervoor kiezen om de theorie zelf al te publiceren (m.a.w. geen sites noemen). Ondertussen ga je bij die 15 sites langs en zeg je dat de theorie toepasbaar is op hun site. Wat ze er dan verder mee doen is aan hun, je hebt niet ingebroken dus bent niet strafbaar. Dan kun je na een maand bijvoorbeeld de 15 namen als voorbeeld publiceren als toevoeging van je onderzoek.

Kijk je eigen contact form eens na en je pagina navigatie, begin dan eens over andere websites haha

Origineel gepost door Chris Horeweg

John, bedankt voor je antwoord! Het is alleen in dit geval niet zo zwart/wit te zien. Het is een indirecte manier (cq theorie) om uiteindelijk (met de nadruk op uiteindelijk) een datalek te veroorzaken.

Waarschijnlijk worden de getroffen websites wel vooraf op de hoogte gebracht, maar als er moet worden gewacht totdat zij dit hebben opgelost kan de publicatie waarschijnlijk pas volgend jaar plaatsvinden (een volledige responsible disclosure wacht tot alles is opgelost).

Daarentegen gaat het niet om deze websites. De websites worden alleen als voorbeeld gegeven, om aan te geven dat het "probleem" op veel websites aanwezig is. Ik wil er een discussie over aanwakkeren, omdat ik al jaren tegen dit probleem aanloop en er op bizar weinig websites aandacht aan wordt gegeven.

Het onderzoek zelf heeft geen commercieële insteek. Ja, het onderzoek is gedaan door mijzelf "in opdracht van" SiteSafe. Er wordt een advies vanuit SiteSafe gegeven om het probleem op te lossen, en er is een link geplaatst voor vragen, opmerkingen en reacties. Het onderzoek sluit op deze manier af:


Het enige commercieële eraan is het persbericht om het onderzoek zelf!

Allemaal mooi en wel, maar maar jij bent zelf sitesafe, wikkel er dus geen doekjes om, je doet het niet voor niks ;)
Als je niet naar sites gaat refereren (wat je overigens in dit topic al hebt gedaan ivm. sd) dan zou het een ander verhaal zijn, maar ik zou er toch wel erg mee opletten. Als je een beveiligingsbedrijf hebt zijn er 2 dingen die belangrijker zijn dan al het andere: betrouwbaarheid en discretie. Het lijkt me dat je die 2 dingen juist op het speel zet. Er is geen enkele publiekelijk belang gediend van een full disclosure dus zelfs als journalist zou je je amper ergens op kunnen beroepen, lijkt me.

Maar ik ben iig benieuwd :)

Origineel gepost door Bas blokzijl

Kijk je eigen contact form eens na en je pagina navigatie, begin dan eens over andere websites haha

Een totaal nutteloze reactie, bedankt! Denk ik?

Origineel gepost door Andre A

Ik zou ervoor kiezen om de theorie zelf al te publiceren (m.a.w. geen sites noemen). Ondertussen ga je bij die 15 sites langs en zeg je dat de theorie toepasbaar is op hun site. Wat ze er dan verder mee doen is aan hun, je hebt niet ingebroken dus bent niet strafbaar. Dan kun je na een maand bijvoorbeeld de 15 namen als voorbeeld publiceren als toevoeging van je onderzoek.

Dit is inderdaad ook nog een mogelijkheid! Ik ga dit eens overleggen.

Origineel gepost door John Timmer

Allemaal mooi en wel, maar maar jij bent zelf sitesafe, wikkel er dus geen doekjes om, je doet het niet voor niks ;)
Als je niet naar sites gaat refereren (wat je overigens in dit topic al hebt gedaan ivm. sd) dan zou het een ander verhaal zijn, maar ik zou er toch wel erg mee opletten. Als je een beveiligingsbedrijf hebt zijn er 2 dingen die belangrijker zijn dan al het andere: betrouwbaarheid en discretie. Het lijkt me dat je die 2 dingen juist op het speel zet. Er is geen enkele publiekelijk belang gediend van een full disclosure dus zelfs als journalist zou je je amper ergens op kunnen beroepen, lijkt me.

Maar ik ben iig benieuwd :)

John, begrijp me echt niet verkeerd! Het onderzoek zelf is niet uit commercieel oogpunt gedaan. Wat het laatste betreft heb je zeker gelijk; full disclosure wordt 'm sowieso niet.

Het wordt óf een responsible disclosure nadat de getroffen websites op de hoogte zijn gebracht, of een closed disclosure waarbij de websites niet worden vermeldt, wel op de hoogte worden gebracht en het onderzoek los wordt gepubliceerd.

Thanks heren :)

Chris, ik begrijp je niet verkeerd. Ik probeer alleen te voorkomen dat je straks een mooie lijst van 15 sites hebt in je rapportje en 1 of meer van die sites als gevolg daarvan overlast krijgen en straks met de log- en blog in de hand een aangifte gaan doen. (Niet dat een aangifte zoden aan de dijk zet in dit land, maar dat is een ander verhaal). :)

Origineel gepost door John Timmer

Chris, ik begrijp je niet verkeerd. Ik probeer alleen te voorkomen dat je straks een mooie lijst van 15 sites hebt in je rapportje en 1 of meer van die sites als gevolg daarvan overlast krijgen en straks met de log- en blog in de hand een aangifte gaan doen. (Niet dat een aangifte zoden aan de dijk zet in dit land, maar dat is een ander verhaal). :)

Thanks! :) Better safe then to be sorry inderdaad ;-)

Origineel gepost door Chris Horeweg

De voornaamste waar ik me écht zorgen om maak is het eerste, het juridische gedeelte. In princiepe geef ik informatie over een specifieke soort aanval, maar leg niet uit hoe die in zijn werking gaat. Ik geef wel voldoende informatie om, met zoekwerk/kennis zelf zo'n aanval uit te voeren.

Ik hoop dat dit onder persvrijheid valt omdat het interessant is voor het publiek en het niet gericht is op één website.
Aanvullend bericht:
Of GeenStijl het interessant vind weet ik niet, zou hun ook op de lijst kunnen zetten namelijk. Buiten dat, volgens mij hebben die nooit nieuws over hackers?

Webwereld en Security zijn inderdaad wel twee mogelijke kandidaten.

je moet het melden bij het ad dat pakt beter uit dan bij brenno de winter.
geloof me heb er ervaring mee.

Dit soort berichten zie je wekelijks op zat nieuws pagina's en waar ze de personen gewoon netjes geheim houden zie je ook altijd staan. Tweakers, geenstijl, webwereld, om maar even 3 te noemen.
Op tweakers zie ik het zelfs regelmatig voorbij komen.
Tweakers, geenstijl, webwereld vragen ook altijd een reactie en ook dat het netjes opgelost kan worden.
Dus ik snap niet helemaal wat je bedoelt.

Maar ik denk dat jij eigenlijk heel iets anders wilt weten.
Je hebt iets gedaan waarmee je snel iets kan opbouwen.
Je wilt het onder je eigen naam uit brengen en zelf naamsbekendheid opbouwen en hopen dat jou bericht op alle nieuwspagina's komt (telegraaf, RTL, Tweakers, Nu.nl, etc)
Maar je wilt natuurlijk niet de lul zijn.
Breng je het toch anders dat jij niet de gene was maar van een bron.

En je spreekt je zelf een beetje tegen: website's niet vermelden? Kom op.

Dan maakt het helemaal geen ruk uit wat je er neer zet.
Kan je publiceren wat je wilt. Maar dan is het helemaal niet boeiend om het te lezen.
Dan kan je ook liegen, morgen maar een nieuws bericht de deur uit sturen over e-mail lek met wachtwoorden van 200.000 mensen van een bekende site.
Dan had je ook niets op sitedeals hoeven te plaatsen over dit en de bedrijven gewoon een handje helpen.

Denk dat je zelf wel weet als jij een lek kan vinden ergens en dat naar buiten brengt en vervolgens mensen het ook proberen jij dan in problemen zou komen vanwege je bericht, wat denk je nou zelf?
Kaart het aan en geef ze een periode van 2 dagen om het op te lossen of verzin iets anders.
Wees creatief.

ps: Wel leuk dat je dat hebt kunnen doen dus ik hou even in de gaten ben benieuwd welke website's het zijn :-)) Hoop wel website's voor je groter dan zeg sitedeals want met sitedeals haal je een regionale krant niet eens. Vind het ook stoer dat je het kan. Good Luck Assange!!!

Tip: Heb even gegoogeld voor je. Ambassade van Equador zit op de:
Koninginnegracht 84
2514 AJ Den Haag
The Netherlands

Je weet maar nooit :P

Guys, dit is een oud topic.. Kan 'm niet op slot zetten, reageren niet meer nodig. Allen bedankt.