Follow

PSA: Arbeitet bloß nicht für die Firma Modern Solution und macht auch keine Responsible Disclosure bei denen.

"Nach Datenleck: Hausdurchsuchung statt Dankeschön"

golem.de/news/nach-datenleck-h

@HackyScientress Ich denke, das war es mit Responsible Disclosure. So a*loch-mäßig wie sich die und auch jetzt die Firma verhält, ist der beste Weg nach dem Entdecken einer Sicherheitslücke die sofortige, ANONYME Veröffentlichung.
Den Schaden muss dann halt die Firma oder Organisation tragen, die schlechte/kommerzielle Software eingesetzt hat oder die blöd konfiguriert hat.

@carl Ja man muss halt gucken. Bei Firmen die einen guten track record haben oder die auch klar machen das sie responsible disclosure gut finden kann man das weiter machen. Aber beim 0815 Mittelständischen Deutschen Firmen werde ich solange sich die Gesetzeslage nicht ändert auch kein responsible disclosure mehr machen.

Und es ist ja auch kein reines Problem der Firmen, sondern auch ein Problem das die Justiz bei solcher Scheisse mit macht. Das Zeigt auch das dort die falschen Leute sind

@HackyScientress Die Justiz ist an die Gesetze gebunden. Natürlich hat sie da gewisse Freiheiten (siehe Freifahrtschein für Nazis oder CumEx), aber einer Anzeige muss sie schon nachgehen.

@carl naja es liegt schon an leuten die dort arbeiten wenn die mit einer Hausdurchsuchung anrücken bei nem Vorwurf von mimimi der hat die Sicherheitslücke in unsere schlecht gecodeten software gefunden.

Die Leute in der zuständigen Staatsanwaltschaft müssen da schon einen gewisse Inkompetenz haben oder eine Abneigung gegen white hats damit sowas passiert.

@HackyScientress Die korrekte Antwort ist eher "macht keine Responsible Disclosure". Das ist außer bei z.B. Open Source Projekten nie sinnvoll. Anonyme auf eine Fulldisclosure Mailingliste damit und fertig

@nd Das würde ich so nicht sagen. Es gibt genug Firmen die Sinnvolles Responsible Disclosure machen und machen zahlen sogar rewards. Responsible Disclosure ist wichtig, ist ist ziemlich kacke für zero days zu sorgen. Aber wenn Firmen sich da scheiße verhalten und es Gesetzlich keinen Schutz gibt für ethical hackers dann geht das halt nicht.

Bei 0815 Mittelständischen Deutschen Firmen werde ich solange sich die Gesetzeslage nicht ändert auch kein responsible disclosure mehr machen.

Sign in to participate in the conversation
chaos.social

chaos.social – a Fediverse instance for & by the Chaos community