Heren, dames,

Ik ben van plan om begin volgende week een onderzoek te publiceren met een overzicht van 15 bekende Nederlandse websites. In dit onderzoek zijn resultaten met betrekking tot de veiligheid naar voren gekomen die niet positief zijn. Een van de "getroffen" websites is ook SiteDeals, hoewel deze redelijk positief nar voren is gekomen.

Omdat dit onderzoek indirect kan leiden tot meer pogingen tot hacken bij alle 15 websites, wil ik hier graag jullie advies over. Twee dingen in het bijzonder.

1) Is dit uberhaupt toegestaan om te publiceren? Voor de duidelijkheid, het is een indirecte manier van hacken en het is een uniek onderzoek voor zover bekend.
2) Wat is de beste manier om dit zo bekend mogelijk te krijgen?

Alvast bedankt voor jullie meningen!

Vriendelijke groeten,
Chris Horeweg

2. Mailtje sturen naar geenstijl.nl als het om populaire sites gaat!

Of bij webwereld melden.

Maar ik denk wel dat je dit zelf wel mag publiceren, mits als jij maar niet hebt ingebroken bij 1 van de website`s. Maar dan tip je dan wel andere kwaadwillenden.

De voornaamste waar ik me écht zorgen om maak is het eerste, het juridische gedeelte. In princiepe geef ik informatie over een specifieke soort aanval, maar leg niet uit hoe die in zijn werking gaat. Ik geef wel voldoende informatie om, met zoekwerk/kennis zelf zo'n aanval uit te voeren.

Ik hoop dat dit onder persvrijheid valt omdat het interessant is voor het publiek en het niet gericht is op één website.
Aanvullend bericht:
Of GeenStijl het interessant vind weet ik niet, zou hun ook op de lijst kunnen zetten namelijk. Buiten dat, volgens mij hebben die nooit nieuws over hackers?

Webwereld en Security zijn inderdaad wel twee mogelijke kandidaten.

Tja de overhbeid vraagt wel tegenwoordig van een getroffen website een directe transparantie naar hun toe. Zie KPN hack.

In princiepe gaat het niet zó ver, althans, ligt er eigenlijk maar net aan wat een datalek exact inhoud. De manier zoals deze is beschreven is een op zich bekende, maar (nog) niet veelvoorkomende manier. Nevertheless, het komt wel voor.

In theorie is het wel een beveiligingslek, hoewel niet iedereen het daar met mij eens zal zijn.

Ik snap je ook wel. Of nou een datalek, hack of een security onderzoek is. In sommige alle gevallen gaan bedrijven moeilijk doen en doen aangifte van diefstal, smaad, laster etc. In dit punt die gegevens die jij wilt delen met de rest om security in Nederland te verbeteren wel openbaar mag. Dat vind ik! Dus ik zou niet melden van namen van zulke website`s in jouw publicatie.

Als ik het onderzoek publiceer zonder resultaten, heeft de publicatie dan nog wel nut?

als jouw onderzoek ook sites bevat uit de gezondheidszorg, dan heb ik wel interesse om het te publiceren. Ook kan ik je dan vooraf in contact brengen met instanties die je van advies kunnen voorzien over de juridische aspecten (zoals een juridisch advies buro).

Ook bij de NVJ (nederlandse vereniging van journalisten) kunnen we dan juridisch advies inwinnen. Als journalist ben ik daar lid van.

Mocht je dit keer geen sites uit de zorg hebben gechecked, dan heb ik interesse om daar samen met jou een apart onderzoek voor te doen en dat te publiceren.

Als je interesse hebt, PM me dan even.

Ik ben eigenaar van een grote site op het gebied van zorg en ict en werk vaak samen met onder andere de Inspectie Gezondheidszorg en VWS.

Groeten

Paul

Eerst de eigenaren op de hoogte brengen en ze evt aanbieden het lek te dichten. Kun je leuke opdrachten mee binnenhalen en is wel zo netjes. Geenstijl informeert graag over dergelijke zaken volgens mij en zou je extra exposure op kunnen leveren.

Dus een responsible disclosure waardoor het nog weken kan gaat duren, ten opzichte van een full disclosure?

Hence de betekenis van het woord 'responsible', plus kan je extra werk opleveren.

Klopt, alleen het gaat uiteindelijk verder dan deze 15 websites. In princiepe zijn er duizenden websites kwetsbaar hiervoor. Moet ik die allemaal een mailtje gaan sturen (wat overigens spammen is dan?)?

Of het overigens extra werk oplevert van die 15 websites durf ik overigens te betwijfelen; de meesten hebben inhouse programmeurs en beveiligingsadviseurs..

Wat je ook doet, probeer er zelf beter van te worden :)
Ligt er ook aan wat het nou precies is; kun je bij 'geheime' data zoals klantgegevens komen, of kun je bijv zelf een artikeltje plaatsen of een titel aanpassen?
Denk dat de zwaarte van het geheel zou moeten bepalen hoe je het aan moet pakken ;)
Aangezien jij degeen bent die weet waar het om draait moet je dit zelf bepalen.

Je kunt ook Herbert Blankesteijn inlichten. Dan komt het wellicht op BNR (bnr.nl/digitaal) en zal het snel opgepakt worden. Zo is vandaag op de radio te horen dat hackers het Twitter-account van Reuters gister gekraakt hebben.

Edit: Of Brenno de Winter inlichten, wil ook helpen, maar dan gaat hij wel met de eer strijken denk ik.

Het heeft te maken met klantgegevens in die zin. Het is niet een of andere nieuwe exploit die op ieder systeem van toepassing is, maar het is een methode die op onwijs veel (web)applicaties kan worden toegepast. Er zijn maar weinig websites en webwinkels die dat risico inzien en zich er tegen beveiligen.

De publicatie zelf bevat geen code of een handleiding om dit uit te voeren, maar geeft wel een advies hoe dit tegen te gaan. Doordat de 15 websites worden genoemd hoop ik in die zin voornamelijk druk te leggen op ontwikkelaars en bedrijven om er wat tegen te doen, aangezien er nu véél te weinig aandacht aan wordt gegeven..