Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Rapporteren van een hack

08-07-2012, 11:10 door Anoniem, 15 reacties
Hallo
een etische vraag, ik ben er achter gekomen dat een website zijn inlog gegevens niet goed bewaard. De users staan niet geencrypt in de database en via sql injectie is alles op te vragen.
Nu wil ik dat graag rapporteren maar hier achter komen is natuurlijk al strafbaar.
Wat kan je dan het beste doen? jezelf exposen zodat de klpd voor de deur staat of het melden in de hoop dat ze niet de politie bellen.
Niets doen lijkt me ook niet handig.

mvg
Reacties (15)
09-07-2012, 09:46 door User2048
Je kunt het melden bij de eigenaar van de website met een anoniem telefoontje (dus caller-id uitschakelen!) of een anonieme brief.
09-07-2012, 10:44 door WhizzMan
Een andere optie is om het via een journalist te doen. Dat betekent vaak dat uiteindelijk de journalist iets gaat publiceren over de kwetsbaarheid. Kies daarom een journalist die je vertrouwt (lastig, persmuskieten) en maak duidelijke afspraken wat je wel en niet wilt dat er gepubliceerd wordt en dergelijke, voordat je de gegevens aan de journalist geeft. De journalist heeft bronbescherming en zal als het goed is niet vertellen waar hij de informatie vandaan heeft.
09-07-2012, 10:49 door Anoniem
Ik heb hier zeeeeeer veel ervaring mee.
Mijn advies; neem contect op met Brenno de Winter en brand hier absoluut zelf je handen niet aan.
Als je echte naam bekend word dan zul je nooit meer aangenomen worden voor security werk bij onze overheid is mijn ervaring
09-07-2012, 11:23 door Anoniem
Ik zou nooit bellen, en al helemaal geen journalist vertrouwen.
Het gaat er een beetje om, hoe groot en belangrijk de db is die je hebt bezocht, van wat voor soort website deze is, en hoeveel je daadwerkelijk hebt gedownload.

Het ALLERBELANGRIJKSTE is dat je geen enkele vorm van vergoeding vraagt.
Geen geld, geen eer (daarom dus ook geen journalist), geen privileges, niets.
Dan zal geen enkele officier van justitie je lastig vallen, laat staan dat een rechter je veroordeeld of uitlevert, indien van toepassing.

Anoniem blijven werkt over het algemeen het beste door vanuit een internet-café een geanonimiseerd mailtje te sturen via http://anonymouse.org/anonemail.html bijvoorbeeld. Overigens kunnen daar geen bijlages worden meegezonden (die zijn namelijk mogelijk weer te traceren), maar je kunt een deel van de db gewoon in plain-text kopiëren. Ook kun je natuurlijk geen antwoord ontvangen, maak daarvoor een apart adres aan op mail.com bijvoorbeeld (wees dan wel beducht op bijlage's / persoonlijke veld-invullingen bij aanmelden, IP-tracing etc.). Dus nooit thuis, nooit op een eigen pc, en nooit bestanden uploaden / downloaden, want copy-paste in platte text werkt prima.

Ik ga er vanuit dat je geen financiële instelling, webwinkel, social media of andere grote website hebt gehackt, is dit wel het geval, dan zijn er nog wel wat meer dingen die je ter overweging kunt nemen, maar dat zien we dan wel weer :p

Laat nog even weten hoe het afloopt als je wil! \0/
09-07-2012, 12:57 door Anoniem
Veel paranoïde reacties hier. Gewoon contact opnemen met de web beheerder. Hem wijzen op het probleem wordt gewoon gewaardeerd.
09-07-2012, 13:36 door Anoniem
"De users staan niet geencrypt in de database"
Bedoel je hiermee dat de gebruikersnamen niet geencrypt worden opgeslagen ?

Volgens mij is dit geen doodzonde ...
Gebruikersnamen worden vaak in plain text opgeslagen.

Zou je aan kunnen geven op welk CMS de website gebaseerd is ?
(Dan kan ik vannacht rustig slapen ... of niet !)

Oh bijna vergeten, etHisch schrijf je met een h ...
09-07-2012, 13:49 door Anoniem
Mail Brenno! Zeer goed te vertrouwen, en je houdt er misschien ook nog wat *stille* eer aan over als het groot genoeg voor het nieuws is ;)
09-07-2012, 14:02 door Anoniem
Misschien kun je achterhalen bij welke webhoster de site staat, de webhoster zou aan de site in kwestie een waarschuwing kunnen sturen dat er een mogelijk veiligheidslek is geconstateerd.
09-07-2012, 14:42 door Anoniem
indeed, mail brenno de winter. ;-)

... die arme man... ;-)

Zelf eens een beheerder van een dildoshop gemaild met de melding dat half Geenstijl gratis in zijn CMS zat te editen.

Die grapjas heeft mijn 06nummer van mijn website geplukt, en me direct bedreigd met klappen als ik zijn shop niet direct voor hem zou repareren.

Zelfde verhaal met een pentest die ik deed voor een bedrijf, op hun eigen verzoek.
Bleek dat de verkeerde IT-manager getekend had, en ik dus bijna aangeklaagd werdt.

Zolang klokkenluiders nog met pek en veren de stad uit worden gejaagd...

Doe maar gewoon niets.
09-07-2012, 15:10 door Anoniem
HAHA, al die reacties.

Gewoon mailen, heb ik zo vaak gedaan. En als je dan toch anoniem wilt blijven, dan is een internetcafe e.d. veel te overdreven.

TOR -> Web Proxy (publicproxyservers.com) / HTTP Proxy (Overal zijn 8080/80 lijsten te vinden) -> emkei.cz (website om te mailen)

Als afzender een of ander e-mail adres van yopmail.com. En dit e-mail check je weer met de tor en proxy.
09-07-2012, 15:12 door yobi
Ik zou het melden bij de webmaster op een anonieme manier (zoals boven beschreven). Meld via welke url en de gebruikte parameters. Of meld het aan Brenno. Verwijder vervolgens alle bewijsmateriaal van je eigen systemen.
09-07-2012, 20:15 door Anoniem
Het is toch gewoon treurig dat je zoiets niet zonder risico kan melden.
10-07-2012, 11:17 door Anoniem
Wat is het e-mail adres van brenno de winter??????
10-07-2012, 11:18 door Anoniem
Door Anoniem: Het is toch gewoon treurig dat je zoiets niet zonder risico kan melden.
KLOPT!
11-07-2012, 07:36 door Anoniem
brenno@dewinter.com
brennodewinter@gmail.com
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search