Het melden van beveiligingslekken in software is nog steeds een probleem waar hackers en onderzoekers mee worstelen. In veel gevallen weigert de ontwikkelaar te erkennen dat er een probleem is of begrijpen ze het niet en verwachten ze dat een onderzoeker het gratis uitlegt. In andere gevallen adviseert de ontwikkelaar maar het aanschaffen van een applicatie firewall. Andere keren worden onderzoekers voor spionnen uitgemaakt.

Beveiligingsonderzoeker 'd2d' vergelijkt het met het waarschuwen van de buurman dat hij zijn autolichten heeft aan laten staan. De buurman reageert vervolgens met de vraag door wie hij gestuurd is, of het zijn ex-vrouw was en of hij met haar geslapen heeft. Sommige ontwikkelaars reageren wel adequaat. "Maar de meeste ontwikkelaars waar ik mee te maken heb gehad reageren helemaal niet zo. De meeste zijn nachtmerries."

"Al deze moeite heb ik doorstaan om dingen op 'verantwoorde' wijze te doen. In 90% van de gevallen waar ik dingen 'verantwoord; deed, hebben ze mij belachelijk veel tijd gekost, mijn organisatie geld, en ook de tijd van mijn vrienden en collega's, en hebben ze voor stress en frustratie gezorgd", gaat d2d verder. In zeventig procent van de op verantwoorde wijze gemelde lekken, is het probleem nooit opgelost. "Had ik de problemen op het internet gezet, dan was de kans dat de problemen in alle gevallen waren opgelost, zonder alle frustraties."

Onbeleefd
Volgens Robert Graham is het melden van lekken helemaal niet vriendelijk, maar onbeleefd. "Het is meer als het schrijven van 'was mij' op een vieze auto. Jouw standaard van wat schoon is, kan verschillen met die van de buurman. Als je daarop wijst krijg je altijd een vijandige reactie." Graham vindt dat beveiligingsonderzoekers een verkeerd beeld van de werkelijkheid hebben. "Ze vertellen dat je haar niet goed zit en verwachten dan dat je ze bedankt en direct naar de kapper gaat om het op te lossen."

De reden dat het melden van lekken onbeleefd is, komt omdat beveiligingsproblemen de meeste mensen niets kan schelen, aldus Graham. "Het gaat dan niet alleen om de aanbieder, maar ook om de klant. Natuurlijk maakt de klant zich druk als een lek een probleem veroorzaakt, maar in de meeste gevallen veroorzaken lekken geen problemen." Security is volgens hem een afweging. "Als een klein bedrijf een lek patcht, brengt dat hoge kosten met zich mee." Het betekent het fixen van iets waar hun klanten niet wakker van liggen en niet voor willen betalen, wat ten koste gaat van nieuwe features waar klanten wel voor willen betalen. Als een onderzoeker een lek meldt, dan wordt het opeens wel een probleem en wordt de ontwikkelaar tot een afweging gedwongen waar zowel hij als de klant niet op zit te wachten.

Toch gaat het betoog van Graham niet helemaal op. Zo zegt hij dat door het melden van lekken tien jaar geleden allerlei wormen voorkwamen, maar dat aanbieders nu veiligere producten aanbieden die minder kwetsbaar voor wormen zijn. Daarbij lijkt hij de uitbraak van de Conficker worm te vergeten.

Sex
Als laatste doet beveiligingsexpert David Maynor nog een duit in het zakje: "Hoe meer mensen betrokken raken, des te groter de kans dat het verkeerd gaat. Het melden van lekken is net als sex: het zou tussen twee personen moeten zijn, maximaal drie. Meer deelnemers resulteert in een grote puinhoop van gekwetste gevoelens, gekneusde ego's, geheimhoudingsovereenkomsten en een raar gevoel in je maag elke keer dat het genoemd wordt."