Het Amerikaanse beveiligingsbedrijf FireEye, dat onlangs nog in het nieuws kwam omdat een stagiair malware ontwikkelde, heeft nu een Duits beveiligingsbedrijf aangeklaagd vanwege de informatie die het over verschillende kwetsbaarheden in de software van FireEye wil publiceren.

Het Duitse ERNW ontdekte eerder dit jaar vijf kwetsbaarheden (pdf) in het Malware Protection System (MPS) van FireEye. Via één van de kwetsbaarheden kon een aanvaller toegang tot het systeem krijgen. ERNW informeerde FireEye in april over de problemen. Na 90 dagen was het Duitse bedrijf van plan om een advisory over de kwetsbaarheden naar buiten te brengen. Ook andere bedrijven zoals Google hanteren een deadline van 90 dagen voordat informatie over lekken naar buiten wordt gebracht.

Advisory

FireEye vond dat ERNW in de advisory teveel informatie over de werking van het MPS had geplaatst. Volgens het Duitse bedrijf was dit noodzakelijk om de context van de beveiligingslekken beter te begrijpen. Uiteindelijk besloot ERNW de details toch uit de advisory te verwijderen. Volgens Enno Rey, oprichter van ERNW, hadden beide bedrijven in augustus een overeenkomst over de uiteindelijke tekst van de advisory bereikt. Rey was samen met enkele collega's naar Las Vegas gegaan om daar de situatie met FireEye in persoon te bespreken.

Nog geen dag later stuurde FireEye echter een 'cease and desist' brief, waarin ERNW werd beschuldigd van het schenden van intellectueel eigendom. Ook stelde FireEye in de brief dat er geen overeenkomst tussen beide partijen was bereikt. Voordat ERNW kon reageren was FireEye al naar een Duitse rechtbank gestapt om een gerechtelijk bevel te vragen, wat het bedrijf ook kreeg. Dit tot ergernis van Rey.

"We vinden het een ongepaste strategie om onderzoekers aan te klagen die beveiligingslekken op verantwoorde wijze rapporteren", zo laat de oprichter in een blogposting weten. Ook stelt hij dat ze met FireEye handen hadden geschud dat er niets zonder toestemming zou worden gepubliceerd. Rey is dan ook erg teleurgesteld in de werkwijze van het Amerikaanse beveiligingsbedrijf en stelt dat dit een verkeerd signaal naar onderzoekers stuurt. De kwetsbaarheden in de software van FireEye zijn inmiddels gepatcht.

Update

FireEye laat in een verklaring aan Security.NL weten dat het rapport over de kwetsbaarheden dat het van ERNW ontving ook details over het intellectueel eigendom van FireEye bevatte. Het Amerikaanse beveiligingsbedrijf zou ERNW herhaaldelijk hebben gevraagd om de informatie over het intellectueel eigendom niet te publiceren, omdat dit een handelsgeheim was en klanten hierdoor risico zouden lopen. "ERNW weigerde dit, ondanks dat ze onder de Duitse wetgeving geen juridisch recht hebben om onze handelsgeheimen te openbaren", aldus de verklaring. FireEye stelt dat het niet heeft geprobeerd om te voorkomen dat ERNW over de kwetsbaarheden zelf zou publiceren. Hierin zouden beide bedrijven hebben samengewerkt en keurde FireEye uiteindelijk het rapport goed dat ERNW publiceerde.