25.000 websites met één melding beter beveiligd

Met één melding zijn 25.000 websites in één klap beter beveiligd, omdat iemand de moed had het lek te melden. Sinds enige tijd is dat niet meer vanzelfsprekend. Wie iets meldt moet steeds vaker denken aan het risico op een ‘shoot the messenger’-benadering.

Recentelijk werd ik benaderd door Jasper Weijts van Digisafe. Hij had een probleem in een systeem van Mijn Webwinkel gevonden. Het bedrijf biedt een platform om simpel een webwinkel te beginnen. Door de fout was het in theorie mogelijk misbruik van het systeem te maken en in potentie zouden criminelen hier nare dingen mee kunnen doen.

Vroeger en nu
Vroeger zou ik met de grootste spoed het probleem melden en erbij stampvoeten dat de problematiek zo snel mogelijk wordt verholpen of de websites tijdelijk offline gaan. Want niet alleen goedwillende mensen kunnen dit vinden. Ook criminelen ontdekken de lekken. Als een bedrijf mij begon te chanteren diende ik ze van repliek en wees ze op het feit dat zij zelf de Wet bescherming persoonsgegevens overtreden.

Maar de sfeer is veranderd. De harde werkelijkheid nu is dat het College bescherming persoonsgegevens onderbezet is en maar sporadisch in actie kan komen. Ondertussen worden de pijlen gericht op de aanbrenger van het probleem. Zelfs als alles volgens de adviezen van Minister Ivo Opstelten gaat is de boodschap van het Openbaar Ministerie dat ze toch de jacht op de aanbrenger kunnen openen. Zelfs als ontdekker en bedrijf het eens zijn.

Gefixed
In het geval van Mijn Webwinkel was de analyse dat het risico om het lek te melden aanvaardbaar was. En dus is het lek gemeld. Het bedrijf reageerde zeer correct en kwam snel in actie. Inmiddels is er contact tussen onderneming en ontdekker om te kijken of er meer problemen zijn en kunnen de partijen het goed met elkaar vinden.

Dat is niet alleen goed voor het bedrijf, maar ook voor de klanten met een webwinkel. Zij weten dat ze zaken doen met een onderneming die beveiligingsproblemen te lijf wil gaan en ze niet onder stoelen of banken steekt. Uiteindelijk zijn we allemaal lek en moeten deze problemen te lijf worden gegaan.

Mazzel
Helaas valt de analyse niet altijd zo gunstig uit en moet ik er soms voor kiezen mijn bron te beschermen. Dat betekent dan dat er geen melding volgt, omdat er een grote pakkans is. De andere reden is dat er vrees is voor een agressieve reactie in de vorm van een claim. Na een indringend gesprek laat ik de bron kiezen of hij/zij deze de melding wil doorzetten.

Zeker twintig meldingen hebben u daarom nooit bereikt, waarbij er drie aan te merken zijn als hele grote lekken bij grote organisaties. Het lullige is dat we hard op weg waren om veiliger te worden, maar dat de informatie nu de juiste organisaties niet bereikt. Drie maanden na het presenteren van Responsible Disclosure is dat de harde realiteit.

Als je hackt doe het dan veilig en neem dan gerust contact op met het hackmeldpunt of met ondergetekende.