In Deutschland wurde derjenige der auf den Dreck hinweist schon immer stärker bestraft, als der der den Dreck macht. Wird sich in absehbarer Zeit auch nicht so schnell ändern.
m0lest on
Kann ich bestätigen. Habe Lücken in Hermes, dem Shop vom Titanic Magazin und zig anderen Homepages z.B. von Städten gefunden und gemeldet. Ich meine high severity issues wie SQLi. Nicht so low zeugs wie reflective XSS und sowas… Habe **NICHTS ausser Drohungen** bekommen. Nicht einmal ein “OMG! Vielen Dank! Wie konnten wir das übersehen! Haben es behoben!”. Also der schwarze Hut trägt sich da besser 🙂
toshman76 on
Was folgt daraus, beim nächsten mal anonym im Umlauf bringen. Ist zwar ein größerer Schaden für die Verantwortlichen aber wollen es wohl nicht anders.
usedToBeUnhappy on
Schön, wie Lilith hier zitiert wird:
>„ Aufgrund einer unklaren Rechtslage sollten, laut Sicherheitsexpertin Lilith Wittmann, Entdecker eine Schwachstelle an den zuständigen Datenschutzbeauftragten des Landes und das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.“
Dabei ist sie gegen Bug Bounty Programme (habe ich mal bei dem Vortrag beim CCC gehört), da man dadurch nicht mehr über gefundene Schwachstellen sprechen kann way insgesamt für die Branche schlecht ist, da eine ähnliche Schwachstelle ja auch wo anders bestehen könnte und so dann nicht gefixed wird.
Moehrenstein on
Na hätt der Junge die Infos mal einfach im Darknet verkauft.
PadishaEmperor on
Meiner Meinung nach sind bei sowas die Leute bei der Staatsanwaltschaft die wahren Verbrecher. Wenn jemand zur Verfolgung von offensichtlich Unschuldigen beiträgt macht er/sie sich moralisch schuldig.
HomoAndAlsoSapiens on
Sidenote: mir wäre kein Studiengang “IT” bekannt.
olizet42 on
Okay, dann überlassen wir das Feld den Russen. Geliefert wie bestellt, würde ich sagen. Lesson learned.
Ist kein rein deutsches Phänomen. Liegt einfach am mangelnden Verständnis der Thematik.
Gnubeutel on
Auf wen soll ich hier meinen Groll fokussieren? Auf die “Koelnmesse GmbH”? Auf die Anwälte der “Koelnmesse GmbH”? Auf die Staatsanwälte, die der “Koelnmesse GmbH” nicht wegen ihrer Bullshit-SLAPP-Anzeige die Leviten gelesen haben? Auf die Gesetzgeber, die Klarheit schaffen müssten, damit Anwälte nicht meinen, das sei der sinnvollste Weg?
MilchreisMann412 on
> Zumindest Patrik hat wohl keine weiteren rechtlichen Schritte gegen sich zu befürchten, da der von ihm geschilderte Sachverhalt plausibel sei und nachvollzogen werden konnte, bestätigte das BSI.
andyac on
Ich bin Security Researcher von Beruf und finde regelmäßig irgendeinen Kram, weil ich viel zu neugierig bin und immer alles disassemble und auseinandernehme. Ich disclose privat nichts mehr. Ich mach mir die Arbeit nur noch über meinen Arbeitgeber, weil das da Policy ist und mein Name ja nicht direkt dransteht.
Finde ich privat was bei irgendwelchen Firmen landet das auf der 0-Day-Halde. Das Problem haben sich die Firmen selbst zuzuschreiben. Das Risiko dafür angepisst zu werden ist einfach viel zu groß mitlerweile. Meistens gibt’s ja nichtmal nen veröffentlichen Securitykontakt dem man mal ne verschlüsselte Mail schreiben könnte, wenn man denn wollte. So wichtig ist den meisten Firmen das: gar nicht.
Ja, ich könnte übern CCC, hier, da, dies, das. Um so ein Verhalten auch noch zu belohnen? Rennt doch ins offene Messer!
13 Comments
Ein Klassiker
In Deutschland wurde derjenige der auf den Dreck hinweist schon immer stärker bestraft, als der der den Dreck macht. Wird sich in absehbarer Zeit auch nicht so schnell ändern.
Kann ich bestätigen. Habe Lücken in Hermes, dem Shop vom Titanic Magazin und zig anderen Homepages z.B. von Städten gefunden und gemeldet. Ich meine high severity issues wie SQLi. Nicht so low zeugs wie reflective XSS und sowas… Habe **NICHTS ausser Drohungen** bekommen. Nicht einmal ein “OMG! Vielen Dank! Wie konnten wir das übersehen! Haben es behoben!”. Also der schwarze Hut trägt sich da besser 🙂
Was folgt daraus, beim nächsten mal anonym im Umlauf bringen. Ist zwar ein größerer Schaden für die Verantwortlichen aber wollen es wohl nicht anders.
Schön, wie Lilith hier zitiert wird:
>„ Aufgrund einer unklaren Rechtslage sollten, laut Sicherheitsexpertin Lilith Wittmann, Entdecker eine Schwachstelle an den zuständigen Datenschutzbeauftragten des Landes und das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.“
Dabei ist sie gegen Bug Bounty Programme (habe ich mal bei dem Vortrag beim CCC gehört), da man dadurch nicht mehr über gefundene Schwachstellen sprechen kann way insgesamt für die Branche schlecht ist, da eine ähnliche Schwachstelle ja auch wo anders bestehen könnte und so dann nicht gefixed wird.
Na hätt der Junge die Infos mal einfach im Darknet verkauft.
Meiner Meinung nach sind bei sowas die Leute bei der Staatsanwaltschaft die wahren Verbrecher. Wenn jemand zur Verfolgung von offensichtlich Unschuldigen beiträgt macht er/sie sich moralisch schuldig.
Sidenote: mir wäre kein Studiengang “IT” bekannt.
Okay, dann überlassen wir das Feld den Russen. Geliefert wie bestellt, würde ich sagen. Lesson learned.
Hier ein guter Talk zu genau dem Thema:
[https://www.youtube.com/watch?v=dTQAO7M5Gp8](https://www.youtube.com/watch?v=dTQAO7M5Gp8)
Ist kein rein deutsches Phänomen. Liegt einfach am mangelnden Verständnis der Thematik.
Auf wen soll ich hier meinen Groll fokussieren? Auf die “Koelnmesse GmbH”? Auf die Anwälte der “Koelnmesse GmbH”? Auf die Staatsanwälte, die der “Koelnmesse GmbH” nicht wegen ihrer Bullshit-SLAPP-Anzeige die Leviten gelesen haben? Auf die Gesetzgeber, die Klarheit schaffen müssten, damit Anwälte nicht meinen, das sei der sinnvollste Weg?
> Zumindest Patrik hat wohl keine weiteren rechtlichen Schritte gegen sich zu befürchten, da der von ihm geschilderte Sachverhalt plausibel sei und nachvollzogen werden konnte, bestätigte das BSI.
Ich bin Security Researcher von Beruf und finde regelmäßig irgendeinen Kram, weil ich viel zu neugierig bin und immer alles disassemble und auseinandernehme. Ich disclose privat nichts mehr. Ich mach mir die Arbeit nur noch über meinen Arbeitgeber, weil das da Policy ist und mein Name ja nicht direkt dransteht.
Finde ich privat was bei irgendwelchen Firmen landet das auf der 0-Day-Halde. Das Problem haben sich die Firmen selbst zuzuschreiben. Das Risiko dafür angepisst zu werden ist einfach viel zu groß mitlerweile. Meistens gibt’s ja nichtmal nen veröffentlichen Securitykontakt dem man mal ne verschlüsselte Mail schreiben könnte, wenn man denn wollte. So wichtig ist den meisten Firmen das: gar nicht.
Ja, ich könnte übern CCC, hier, da, dies, das. Um so ein Verhalten auch noch zu belohnen? Rennt doch ins offene Messer!