1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Nach Datenleck…

Dann halt nur noch Full Disclosure

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Dann halt nur noch Full Disclosure

    Autor: ha_x5 14.10.21 - 12:10

    So ein dreistes Verhalten erfordert halt die Veröffentlichung unter Full Disclosure. Ein """"ethischer""" Hacker würde das zwar trotzdem nicht machen, aber ich hoffe doch insgeheim, dass da einige der Kollegen sich zu einer Racheaktion hingezogen fühlen.

  2. Re: Dann halt nur noch Full Disclosure

    Autor: Jingoro 14.10.21 - 12:17

    Statt an die presse zu gehen hätte er das vielleicht mal getan oder es an andere stellen gemeldet die nicht so leicht mit einer Hausdurchsuchung überollt werden können! oder z.b direkt an den landesdatenschutzbeauftragten! der meldet doch nie wieder irgendwelche datenlecks!

    Sie hätten auch einfach Danke gesagt haben können das leck schliesen und es hätte kein Hahn danach gekräht!

  3. Re: Dann halt nur noch Full Disclosure

    Autor: Kleba 14.10.21 - 12:20

    Nach so einem Artikel würde ich mich wohl eher - wenn mir sowas auffallen würde - an einen Sicherheitsforscher wenden (wie hier Hanno Böck bei Golem). Der Person alles erklären und versuchen den Kontakt darüber herzustellen. So jemand wird evtl. eher beim richtigen Vorgehen helfen können.

    Aber es ist eine Frechheit, dass Modern Solutions so vorgegangen ist. Und ein Unding, dass man überhaupt als ehrlicher ITler mit so etwas rechnen muss.

  4. Re: Dann halt nur noch Full Disclosure

    Autor: Jingoro 14.10.21 - 12:31

    Kleba schrieb:
    --------------------------------------------------------------------------------
    > Nach so einem Artikel würde ich mich wohl eher - wenn mir sowas auffallen
    > würde - an einen Sicherheitsforscher wenden (wie hier Hanno Böck bei
    > Golem). Der Person alles erklären und versuchen den Kontakt darüber
    > herzustellen. So jemand wird evtl. eher beim richtigen Vorgehen helfen
    > können.
    +1 Seh ich auch so!

    > Aber es ist eine Frechheit, dass Modern Solutions so vorgegangen ist. Und
    > ein Unding, dass man überhaupt als ehrlicher ITler mit so etwas rechnen
    > muss.

    Traurig aber wahr! aber manche firmen denken halt gleich an "das issen hacker" und rennen zur polizei statt jemanden mit ahnung zu fragen!

  5. Re: Dann halt nur noch Full Disclosure

    Autor: Solarix 14.10.21 - 12:52

    Kleba schrieb:
    --------------------------------------------------------------------------------
    > Nach so einem Artikel würde ich mich wohl eher - wenn mir sowas auffallen
    > würde - an einen Sicherheitsforscher wenden (wie hier Hanno Böck bei
    > Golem). Der Person alles erklären und versuchen den Kontakt darüber
    > herzustellen. So jemand wird evtl. eher beim richtigen Vorgehen helfen
    > können.
    >
    > Aber es ist eine Frechheit, dass Modern Solutions so vorgegangen ist. Und
    > ein Unding, dass man überhaupt als ehrlicher ITler mit so etwas rechnen
    > muss.

    Selbst solche Sicherheitsforscher sind in DE/EU nicht vor solchen Anzeigen gefeit, siehe Datenleck in der CDU Wahlapp.

  6. Re: Dann halt nur noch Full Disclosure

    Autor: ibsi 14.10.21 - 12:57

    Kleba schrieb:
    --------------------------------------------------------------------------------
    > Nach so einem Artikel würde ich mich wohl eher - wenn mir sowas auffallen
    > würde - an einen Sicherheitsforscher wenden (wie hier Hanno Böck bei
    > Golem). Der Person alles erklären und versuchen den Kontakt darüber
    > herzustellen. So jemand wird evtl. eher beim richtigen Vorgehen helfen
    > können.
    Der CCC bietet einem das auch an. Also das man mit den Infos zu denen kommt und die dann Kontakt herstellen ohne Deinen Namen zu nennen.

  7. Re: Dann halt nur noch Full Disclosure

    Autor: Kleba 14.10.21 - 14:38

    Oder so, klar. CCC ist natürlich auch keine schlechte Adresse für sowas

  8. Re: Dann halt nur noch Full Disclosure

    Autor: rldml2 14.10.21 - 15:23

    Sorry, aber das würde ich nicht mehr einsehen. Wenn deutsche Unternehmen so weltfremd sind, dass die Leuten ins Gesicht treten, die ihnen helfen wollen, dann brauchen die auf der Gegenseite auch keine Gnade mehr erwarten.

    Ein guter Umgang mit Leuten, die helfen wollen, sollte nichts sein, für das man erst noch kämpfen muss.

  9. Re: Dann halt nur noch Full Disclosure

    Autor: /mecki78 14.10.21 - 16:05

    Kleba schrieb:
    --------------------------------------------------------------------------------
    > Nach so einem Artikel würde ich mich wohl eher - wenn mir sowas auffallen
    > würde - an einen Sicherheitsforscher wenden (wie hier Hanno Böck bei
    > Golem). Der Person alles erklären und versuchen den Kontakt darüber
    > herzustellen. So jemand wird evtl. eher beim richtigen Vorgehen helfen
    > können.

    Ja genau, weil ich ja nichts besseres mit meiner Zeit zu tun habe. Bezahlt mich irgendwer dafür, dass ich mir diese ganze Mühe mache?

    Angesichts dieses Vorgehens wird das bei mir so ablaufen:

    Ich kontaktiere die Firma anonym und nicht zurückverfolgbar. Ich schreibe der Firma was ich gefunden habe und gebe ihnen ein paar Tage Zeit das Leck zu beheben und selber in einer Pressmitteillug das Sicherheitsproblem offen zu legen. Ich lasse sie auch wissen, sollte ich bis Ablauf der Frist nichts von diesem Sicherheitsleck irgendwo öffentlich lesen (oder deren Darstellung nicht den Fakten entsprechen!), dann gehen alle Infos dazu anonym an alle Pressestellen, die ich kenne zusammen mit der Ankündigung, dass ich binnen 48 Stunden diese Infos dann komplett öffentlich ins Netz stellen werde und zwar überall wo ich das anonym tun kann (und da kenne ich einige). Von dort aus wird sich das dann wie ein Lauffeuer verbreiten und kurz darauf wird man das auch bei Twitter und Facebook lesen können. Ich lasse sie auch wissen, dass ich genötigt bin so vorzugehen, dank Firmen wie Modern Solution, die einen keine andere Wahl lassen. Und dann sollen sie von mir aus hundert Strafanzeigen stellen, die werden alle im Sand verlaufen, weil keine Spur zu mir zurückverfolgbar ist.

    /Mecki

  10. Re: Dann halt nur noch Full Disclosure

    Autor: NonesensE 14.10.21 - 16:11

    Jingoro schrieb:
    --------------------------------------------------------------------------------
    > oder z.b direkt an den
    > landesdatenschutzbeauftragten!

    Hat er wegen dsgvo-Verstoß informiert. Ansonsten war ihm das eine Nummer zu groß, deshalb hat er sich Unterstützung gesucht - und bei Mark Steier gefunden. Mehr oder weniger.

    ibsi schrieb:
    --------------------------------------------------------------------------------
    > Der CCC bietet einem das auch an. Also das man mit den Infos zu denen kommt
    > und die dann Kontakt herstellen ohne Deinen Namen zu nennen.


    Der Programmierer hatte sich zuerst an den CCC gewandt, dort aber keine Rückmeldung bekommen. Deshalb ist er dann zu Mark Steier (wortfilter.de) gegangen.

  11. Re: Dann halt nur noch Full Disclosure

    Autor: Trockenobst 15.10.21 - 12:38

    rldml2 schrieb:
    --------------------------------------------------------------------------------
    > Ein guter Umgang mit Leuten, die helfen wollen, sollte nichts sein, für das
    > man erst noch kämpfen muss.

    Der Punkt ist: warum ist das überhaupt relevant? Das ist die Generation, die Unfähigkeit der Manager, Desinteresse. Er hat seinen Job gemacht er hat das gemeldet, vielleicht findet er noch die Entwicklerfirma dann meldet er das denen, und gut ist. Datenschutzmeldung raus schicken, das wars.

    Ich sehe so viele Leute mit Brettern vom Kopf, kaputte Systeme, schlechtes Management, da hilft die größte Bohrmaschine nichts.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Anwendungsberater / Experte (m/w/d) für M365
    Mainova AG, Frankfurt am Main
  2. IT-Monitoring Specialist/in im Rechenzentrum (m/w/d)
    Technische Universität Dresden, Dresden
  3. Junior Produkt Manager Digital Business (m/w/d)
    MEDIENGRUPPE KLAMBT, Hamburg (Home-Office möglich)
  4. IS-H/i.s.h. med-Modulbetreuer*in (m/w/d)
    Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 499,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Klimaschutz: Verbrennerkauf - warum der Verkehrsminister recht hat
Klimaschutz
Verbrennerkauf - warum der Verkehrsminister recht hat

Bundesverkehrsminister Volker Wissing (FDP) warnt vor dem Kauf neuer Autos mit Verbrennungsmotor, weil fossile Brennstoffe keine Lösung sind - auch nicht als E-Fuels.
Ein IMHO von Andreas Donath

  1. Elektroauto VW e-Up ab Mitte Februar wieder bestellbar
  2. Elektromobilität Renault will ab 2030 in Europa nur noch E-Autos anbieten
  3. Hengchi 5 Evergrande baut sein erstes Elektroauto

IT Trends 2022: Gartners magische Jahresvorschau für ahnungslose Anzugträger
IT Trends 2022
Gartners magische Jahresvorschau für ahnungslose Anzugträger

Bei Gartner sind nicht nur die Quadranten magisch, auch die Jahresvorschau samt Trends hat nur bedingt mit der Realität zu tun.
Ein IMHO von Sebastian Grüner


    Glasfaser: Das neue Jahr dürfte einen Preiskrieg bei FTTH bringen
    Glasfaser
    Das neue Jahr dürfte einen Preiskrieg bei FTTH bringen

    Wenig Glasfaser findet sich in Deutschland. 2021 begannen deshalb Investoren, Milliarden-Euro-Pakete abzuwerfen und neue Anbieter anzulocken.
    Von Achim Sawall

    1. Fiber Broadband Association Glasfaser für 43 Prozent der US-Haushalte verfügbar
    2. Globalconnect HomeNet macht seinen 1 GBit/s Tarif symmetrisch
    3. Migration Telekom will DSL-Kunden direkt Glasfaser anbieten