Hacker Safe websites weer zo lek als een mandje
Weer zijn er ernstige beveiligingsproblemen gevonden op websites die het Hacker Safe logo van McAfee dragen, waardoor consumenten risico lopen. Begin januari was het ook al raak, toen ging het om 62 lekke websites die toch een certificaat droegen. Nu gaat het om vijf sites waar al maanden cross-site scripting mogelijk is, zoals deze video demonstreert.
De websites in het filmpje accepteren creditcardgegevens en slaan klantgegevens op. Sites waar cross-site scripting mogelijk is, zijn niet PCI compliant. Eerder waarschuwden experts al dat het Hacker Safe logo een vals gevoel van veiligheid geeft, maar het wordt nog veel erger. Een aantal van de sites is al maanden lek en al meerdere keren door beveiligingsonderzoeker Russ McRee gewaarschuwd. Toch zijn de waarschuwingen genegeerd en staat al die tijd gewoon het logo op de websites.
Volgens McAfee controleert Hacker Safe wel op cross-site scripting en zouden kwetsbare websites niet het logo moeten tonen. "Ze zijn niet hacker safe en consumenten lopen risico," aldus McRee, die wordt bijgevallen door andere onderzoekers die ook problemen met de dienst aantroffen. "Ik heb het al in het verleden gezegd dat het Hacker Safe logo niets meer is dan een schijnvertoning, het draait alleen maar om marketing," aldus Rafal Los.
"Onwetende consumenten verdienen meer dan valse beloftes over veiligheid en lege garanties die alleen bedoeld zijn om de kas van McAfee te spekken," gaat McRee verder. Hij is een open brief gestart waarin McAfee wordt opgeroepen om de "arrogant genoemde Hacker Safe" dienst te verbeteren en lekke websites niet te certificeren.
worden, omdat de garantie dat een website "hacker safe" is niet waar te
maken is, en valse verwachtingen schept.
Hoe wil iemand garanderen dat een website volledige 'hacker safe' is, zolang
er nog niet-ontdekte vulnerabilities bestaan welke in de toekomst
geexploiteerd kunnen gaan worden, nog afgezien van huidige zwakheden ?
Tevens worden updates gedraaid die problemen verhelpen, maar dikwijls ook
weer nieuwe problemen kunnen veroorzaken.
Security is niet statisch, maar is een dynamisch proces, en het is onmogelijk
om dit soort garanties te geven (danwel die verwachting te wekken), men kan
hoogstens stellen dat een website aan allerlij eisen voldoet, en alles doet om
zo veilig mogelijk te blijven.
Mcafee zou dit toch moeten weten, aangezien (om een vergelijking te maken)
bijvoorbeeld hun virusscanner ook nooit 100% beveiliging kan bieden, alleen
om vanwege de simpele reden dat een nieuw virus er eerder is dan een
update van hun virus definities.
hacking aproved..
voorsteld. Sinds de vorige keer dat hackersafe in het nieuws
kwam met xss sites, hebben ze niks gedaan.
Lek of \"niet lek\" ze blijven het gewraakte logo uitdraaien
als je maar betaald!
Als we hacken/hacker nu weer eens gaan gebruiken voor het
hakken op je toetsenbord, code inkloppen dus. Een 'hack'
weer als slimme oplossing voor een lastig probleem.
Dan kan het woord 'cracker' weer voor het kraken (als in
inbreken) van systemen gebruikt worden en kan de industrie
met dat woord opnieuw aan de slag !
merkje ergens op plakken om te tonen dat het gecontroleerd
is. Maar wat er allemaal gecontroleerd is, en wat niet, en
hoe dit is gedaan, dat laten ze niet weten. Heel wat
managers staan bij dat soort diensten en werkzaamheden te
kwijlen van genot, omdat ze het op papier lekker kunnen
meten dat er voldoende gedaan zou zijn. Helaas staat dat in
schril contrast met de werkelijkheid van risico beheersing.
Je beveiligd geen systemen door simpelweg een merkje te
kunnen scoren omdat je iets niet kan aantonen. Het gaat
juist om de onderbouwing van waarom je iets niet hebt kunnen
vinden en wat je dus mogelijk mist. Maar voor veel geld je
kop in het zand steken is helaas heel erg in.
dan al snel vinden dat ze veilig zijn, en dus worden er vaak
nog geen source audits gedaan.
niet dus.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.