Door
Bram Boos
op 24-10-2011 22:10
gewijzigd op 24-10-2011 22:16
9.819 views
Vandaag op school zijn we achter een vrij ernstig lek van een bekend webshop script gekomen. Het lek is zelfs zo groot dat ik gebruikersgegevens van meer dan 7000 mensen heb en daar staan de wachtwoorden als plaintext in. Ook kan ik alle producten van alle webshops welke dat script draaien verwijderen of verhogen.
Mijn bedoeling is niet om schade toe te brengen of om privacy te schenden maar het ging er meer om dat meer dan 1000 webshops dat systeem hebben aangekocht en nu een probleem hebben.
Nu is mijn vraag wat ik beter kan doen, naar het bedrijf stappen wat het script heeft gemaakt of naar de webshop eigenaren gaan? En moet ik dit anoniem doen of gewoon onder mijn eigen naam? En wat als ze het niet interreseert? Naar de media stappen, of alleen dreigen om naar de media te stappen?
Ik ga geen gegevens van het desbetreffende bedrijf, de webshops of de naam van het syteem vrijgeven.
Ja, hier ben ik ook wel geinteresseerd in.. k zit dit even te lezen.. en het ziet er niet naar uit dat het kwaadwillend is bedoeld.. zoveel straf kunnen ze je niet geven als het goed bedoeld is.
Ja, hier ben ik ook wel geinteresseerd in.. k zit dit even te lezen.. en het ziet er niet naar uit dat het kwaadwillend is bedoeld.. zoveel straf kunnen ze je niet geven als het goed bedoeld is.
Als je maar aantoont dat je niks met hun data gedaan hebt.
Ik heb ook wel eens een lek bij een bekende nieuws-site gevonden, waarbij ik de hele database kon inzien, en naar alle waarschijnlijkheid zelfs nieuws zou kunnen toevoegen. Uiteraard heb ik dat niet gedaan, en heb direct maar naar de telefoon gegrepen om me door te laten verbinden met de ICT-afdeling.
Het lek werd gedicht, en ik werd op passende wijze beloond met enkele cadeaubonnen en wat promo-spul :).
Als je nou persoonsgegevens zou laten lekken, en op paste-bin gooit of weet ik veel hoe verspreid, dan heb je zeker kans op een aangifte tegen je. Maar zo ben ik gelukkig niet ;-)
Een collega freelancer van mij heeft weleens iets ernstigs gevonden van een grote verzekeraar. Een ontwikkelaar had per ongeluk PhpMyAdmin open gezet op een server waardoor dingen als klanten dossiers, polissen e.d. uit te lezen waren.
Hij heeft toen EERST aangifte gedaan bij de politie dat hij dit gevonden heeft en is daarna naar het bedrijf in kwestie toegegaan.
Wat ik mij eigen eigenlijk afvraag is er geen soort certificering oid waar je je bij kan aansluiten zodat je een logo plaatst op je site die waarborgt dat je site door het keurmerk regelmatig wordt gechecked op veiligheid?
Bram Boos is niet Daniël Heesen maar wellicht heeft hij het samen met Daniël uitgevoerd?
In het artikel staat dat de lekken gevonden zijn na het lek bij CheapTickets. Was dit lek van CheapTickets niet ontdekt na het verhaal van Bram? Zo ja, dan zou het hier dus niet om Bram gaan.
Kees Schepers op 03/11/2011 10:10:33
Wat ik mij eigen eigenlijk afvraag is er geen soort certificering oid waar je je bij kan aansluiten zodat je een logo plaatst op je site die waarborgt dat je site door het keurmerk regelmatig wordt gechecked op veiligheid?
Ik heb ook wel eens een lek bij een bekende nieuws-site gevonden, waarbij ik de hele database kon inzien, en naar alle waarschijnlijkheid zelfs nieuws zou kunnen toevoegen. Uiteraard heb ik dat niet gedaan, en heb direct maar naar de telefoon gegrepen om me door te laten verbinden met de ICT-afdeling.
Het lek werd gedicht, en ik werd op passende wijze beloond met enkele cadeaubonnen en wat promo-spul :).
Wat maakt dat nou uit, welke website het is? Het gaat om de afhandeling en het incident, niet of het van belang is dat het RTV Utrecht was. ;-)
Kees Schepers op 03/11/2011 10:10:33
Een collega freelancer van mij heeft weleens iets ernstigs gevonden van een grote verzekeraar. Een ontwikkelaar had per ongeluk PhpMyAdmin open gezet op een server waardoor dingen als klanten dossiers, polissen e.d. uit te lezen waren.
Dat is wel heel erg dom, en vooral dat het zonder enige inlog benaderbaar zou zijn.
