Ernstig lek gevonden, en nu?

Wat je het beste kan doen is gewoon onder je eigen naam contact zoeken met dat bedrijf, team die de webshop onderhoudt.

Ook zou ik er op aandringen dat ze bij de volgende update alle plaintext-passwoorden vernietigen en de gebruikers een nieuwe laten geven. Het verbaast me dat er nog steeds laks om wordt als het om beveiliging gaat van webshops en scripts die erop draaien.

De webshopeigenaren moet je niet benaderen, die kunnen er vaak niks aan doen en ga jij eventjes 1000 mails sturen naar hen? Dat bedrijf moet gewoon asap een update uitbrengen.

Wellicht een mailtje sturen naar Brenno de Winter van webwereld.nl?
Die hebben deze maand "lektober" waarin allerlei lekken van bedrijven en instellingen aan de kaak worden gesteld. Als je het naar hem stuurt, komt het misschien zomaar in het nieuws :)

http://blog.webwereld.nl/2011/10/04/lektober-missie-nu-al-volbracht/#utm_source=Webwereld&utm_medium=Website&utm_campaign=front_blog_1

Ozzie PHP op 24/10/2011 22:29:06

Wellicht een mailtje sturen naar Brenno de Winter van webwereld.nl?
Die hebben deze maand "lektober" waarin allerlei lekken van bedrijven en instellingen aan de kaak worden gesteld. Als je het naar hem stuurt, komt het misschien zomaar in het nieuws :)

http://blog.webwereld.nl/2011/10/04/lektober-missie-nu-al-volbracht/#utm_source=Webwereld&utm_medium=Website&utm_campaign=front_blog_1

Wil je 1.000 klanten van dat bedrijf duperen? Geef eerst het bedrijf even de tijd om het te fixxen en het op te lossen. Als ze laks reageren, kan je altijd nog het in de media gooien, hoewel het altijd de vraag is wat de uitwerking is.

Het probleem is dat het script volgensmij aan verschillende andere partijen onder doorverkooprechten is verkocht en de laatste update stamt uit 2009. Ik ben dus bang dat het bedrijf gaat reageren dat zij daar niet verantwoordelijk voor zijn.

Ik heb er over na zitten denken om naar webwereld te stappen maar het gaat nooit lukken om al die webshops te updaten voor het einde van oktober.

Bram, ik vindt het wel interessant om te weten hoe je bent 'binnengekomen'. Uiteraard wordt het bedrijf niet vermeld! :)

Ik vermoed een simpele(?) SQL injection. ;-)

Om te beginnen heb je iets gedaan wat strafbaar is, hoe edel je motieven ook zijn. Je hebt iets gedaan waardoor er nu een enorme verantwoording op je rust. Je moet op korte termijn de maker/bedrijf van de websoftware inlichten en hen zeer kort de tijd geven om te reageren waarbij je zou kunnen laten merken dat je webwereld/lektober in gaat lichten. Wanneer je onvoldoende reactie krijgt zou je toch ook maar beter de betreffende webwinkel kunnen inlichten. Nogmaals, je hebt iets gedaan wat strafbaar is, vergelijk het met een openstaande bankkluis waaruit je ook niet zomaar de inhoud mee mag nemen.

Aad, je maakt het spannender dan het is. Er is nog niks strafbaars gebeurd. Bram heeft een lek geconstateerd. That's it.

Aad heeft misschien ergens een beetje gelijk want waarschijnlijk heb je moeten inbreken om erahter te komen dat het lek is maar het bedrijf kan nu nooit bewijzen dat het door jou 'inbreken' schade heeft opgelopen want dat is niet zo.

Als je naar het bedrijf gaat zou ik er wel gewoon een vergoeding voor vragen voor het vrijgeven van informatie. Dat is heel normaal en in dit soort zaken moet je niet te sociaal zijn. Jij bent helemaal niet verplicht de informatie aan hun verschaffen.

En gelukkig is er in Nederlands persvrijheid dus je mag ook naar de media stappen, ik denk ook wel dat zij jou erin begleiden wat wel en niet kan. Het kan overigens goed zijn voor je imago voor als je gaat freelancen of een bedrijf start. Erik Duindam is ook naar de media gestapt nadat hij een lek gevonden had in de Microsoft site en dat heeft hem niet slecht gedaan zullen we maar zeggen.

Mocht je toch bang zijn zorg in iedergeval dat je een goede rechtsbijstand verzekering hebt haha ;)

Vandaag in Nieuwsuur: hacker Bram B. op de vlucht.

óf

Vanavond in Pauw en Witteman: Bram Boos vertelt over digitaal lek en gevolgen voor privacy.

:)