Spectre, Meltdown, Dirty Cow en Heartbleed, het zijn enkele voorbeelden van namen die de afgelopen jaren aan kwetsbaarheden werden gegeven, maar als het aan het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit ligt worden er geen sensationele namen meer verzonnen.

Onderzoekers en beveiligingsbedrijven verzinnen sensationeel klinkende namen voor marketing of een "maximale impactfactor", zo stelt het Leigh Metcalf van het CERT/CC. Het benoemen van kwetsbaarheden, ook wel "bug branding" genoemd, kan zorgen voor FUD (fear, uncertainty and doubt), merkt Metcalf op. Niet elk beveiligingslek dat een naam krijgt is namelijk een ernstige kwetsbaarheid.

Om kwetsbaarheden te identificeren is het Common Vulnerabilities and Exposures (CVE) ID bedacht. Security.NL besteedde hier onlangs in een achtergrondartikel aandacht aan en ging ook in op de praktijk van bug branding. Metcalf stelt dat het CERT/CC geen tegenstander van het benoemen van kwetsbaarheden is. Net als bij stormen, besturingssystemen en websites is het eenvoudiger om een naam te onthouden dan geografische coördinaten, versienummers of ip-adressen.

Het CERT/CC wil echter dat er neutrale namen worden gekozen zodat mensen een beveiligingslek kunnen onthouden, zonder dat de naam impliceert hoe ernstig, of niet, de kwetsbaarheid in kwestie is. Om hierbij te helpen heeft het CERT/CC een Twitterbot ontwikkeld die neutrale namen verzint. De bot, met de naam Vulnonym, maakt gebruik van bijvoeglijke en zelfstandige naamwoorden, waarbij sensationele, alarmerende en beledigende namen zijn verwijderd. Dit heeft inmiddels verschillende namen opgeleverd, zoals Messy Mola, Culpable Bonasus en Crooked Baka.