Hackmeldpunt

From RevSpace
Revision as of 21:51, 31 August 2012 by Juerd (talk | contribs)
Jump to navigation Jump to search


2012-08-30 - Revspace heeft een meldpunt geopend waar anoniem melding gemaakt kan worden van lekken in websites

Regelmatig krijgen wij hackers over de vloer die lekken gevonden hebben, maar deze niet durven te melden. Immers, niet alle bedrijven begrijpen dat je alleen maar probeert te helpen.

Anoniem melden is dan een oplossing, maar anonieme meldingen worden vaak niet serieus genomen, en men kan geen reactie sturen. En er zijn zat bedrijven die überhaupt niet kunnen omgaan met e-mail. RevSpace heeft hierom besloten om een meldpunt te maken waar hacks anoniem kunnen worden aangemeld. Wij zullen dan (indien mogelijk) deze lekken aanmelden bij de betreffende partijen en indien nodig ook publiceren. Reageert men niet op e-mail, dan bellen we even.

Heb je een lek gevonden, dan kun je het melden via meldanoniem @@@ revspace.nl - Geef ook even een proof of concept en overige info die je kunt verstrekken; wij spelen graag voor doorgeefluik, maar hebben niet altijd zin en tijd om zelf op zoek te gaan.

Gebruik Tor en een anoniem (web)mailaccount om je anonimiteit te beschermen. Wat we niet weten, kunnen we ook niet per ongeluk lekken.

  • 2012/08/30: Update: Dat ging snel! Het eerste lek, in een website van een bekende Nederlandse organisatie, is al gemeld. We kennen mensen bij de ISP die de site host, en die gaan ermee aan de slag.
    • De volgende ochtend kregen we twee positieve mailtjes en de volgende reactie op IRC:
10:50  * JanJoost via meldanoniem @@@ revspace.nl een melding binnengekregen, gisteravond om half elf
10:50 < JanJoost> ivm een gat in een site van een klant van ons
10:50 < JanJoost> en dat hebben we gedicht
10:51 < JanJoost> dus ik wil de melder bedanken voor het melden, en ook doorgeven dat we wat met de melding hebben gedaan!
10:56 < JanJoost> nuja, mocht iemand iets gehoord hebben, geef aub een nudge aan de persoon in kwestie en meld hem dat het gat gedicht is aub
 H. Acker bedankt voor het melden van de LFI exploit!
  • 2012/08/31: En weer een melding, ditmaal over een XSS lek. We hebben de melding doorgestuurd naar een bekend contactpersoon.
    • Reactie: Dank voor de melding, we gaan hier gelijk mee aan de slag. Eind deze dag is dit nog gerepareerd. Complimenten voor jullie initiatief, dit had heel anders af kunnen lopen.
  • 2012/08/31: Nr 2 van vandaag, een private information leak, is ook ontvangen. De melding is doorgestuurd naar de provider, en het contact-form van de betreffende site, wegens een verder compleet gebrek aan beschikbare contact-info.