Ik lees hier dat het lek al weken bekend was:

https://www.destentor.nl/tech/op-een-haar-na-voorkwamen-nederlandse-vrijwilligers-wereldwijde-cyberaanval-van-russische-criminelen~aac4fc15/

Kaseya heeft zo te lezen wel alle zeilen bijgezet om het lek te dichten, maar heeft blijkbaar geen moeite gedaan om klanten extra te monitoren op verdachte activiteit.

Ik denk dat het probleem daarbij is dat ze niet zelf systemen monitoren maar leveren aan bedrijven die dat doen. Dan krijg je de situatie dat je geen actie kan ondernemen zonder effectief bekend te maken dat er een zero-daylek is, en daar wil je natuurlijk pas de aandacht op vestigen als er een oplossing voor is.

Zoals ik het heb meegekregen is het hele verschijnsel van responsible disclosure ooit ontstaan omdat er softwareleveranciers waren die ernstige lekken eindeloos ongepatcht lieten nadat ze gemeld waren. Dat werkte in de hand dat steeds meer onderzoekers die lekken opspoorden ze in de openbaarheid wilden gooien om dergelijke nalatige bedrijven tot actie te dwingen. Er waren voorstanders van directe openbaring, met als argument dat als zij een lek konden vinden criminelen dat ook konden, zodat geheimhouding ervan schijnveiligheid bood. Volgens die redenatie kan je beter weten dat er een ernstig lek is en daar noodmaatregelen voor nemen dan het niet weten en gecompromitteerd raken. Het tegenargument was dat door openbaarmaking juist massa's criminelen die zich nog van geen lek bewust zijn op dat lek worden gewezen. Het compromis dat eruit kwam was responsible disclosure: tijdelijke geheimhouding, maar niet te lang, want inderdaad kunnen kwaadwillenden ook lekken vinden.

Dit voorval laat zien dat responsible een compromis is en dat compromissen niet in elk geval goed uitpakken. Gezien de enorme aantallen bedrijven die nu hierdoor gecompromitteerd zijn geraakt was het achteraf gezien misschien beter geweest als dit wél snel openbaar was gemaakt, zodat iedereen Kaseya VSA op tijd uit had kunnnen zetten.

Ik schreef misschien, want ik weet niet hoeveel VSA-gebruikers in die situatie de server vrolijk door hadden laten hobbelen, omdat ze het nieuws niet tot zich door hadden laten dringen, hadden gedacht dat het wel los zou lopen of dat ellende iets is dat anderen overkomt.

Ben benieuwd naar het gehele proces van ontdekking tot aanleveren van patch bij Kaseya. Als het lek al weken bekend was. (--> artikel stentor geeft enig inzicht, waarvoor dank)

Ben geen advocaat maar als het lek al weken bekend was zal Kaseya toch aansprakelijk zijn voor alle schade.

Deze conclusie trok ik ook, na het posten, toen ik me realiseerde dat Kaseya niet de monitoring doet, maar de afnemers van hun pakket. Uit andere berichten begreep ik dat het slechts een paar tientallen afnemers betreft. Die kleine groep had je persoonlijk kunnen opbellen met het uitdrukkelijke advies nadrukkelijke te monitoren zonder de aanwezigheid van een lek wereldkundig te maken.

Maar achteraf ben je slimmer. Kaseya ging er natuurlijk van uit dat het lek wel gedicht zou zijn voordat het door een tweede partij ontdekt werd. Dan hadden ze helemaal geen imagoschade.