[...]
Wat een onzin toch weer. Echt serieus waar, IT-ers moeten eens ophouden om te denken in een één heel klein laantje. Er is een wereld buiten de IT, echt. En die wereld snapt niets van IT, echt.
En juist daarom moeten we als IT-ers de wereld buiten de IT beschermen tegen dit soort ongeloofelijk stomme fouten.
[...]Voor een groot bedrijf als Gearbest is het wel een super slechte zaak dat er geen centraal meldpunt is voor dit soort issues. En dat er simpelweg databases op deze manier open staan naar het internet zegt wel dat je bijvoorbeeld geen pen tests laat doen: dat kun je ze zeker kwalijk nemen.
GearBest is een internetbedrijf, IT is hun core business. Hoe kun je dan niemand hebben rondlopen die snapt wat een open database betekend als zogezegd de CISO op vakantie is?
[...]Zeggen dat er geen enkel excuus is om niet te reageren is gewoon onzin. Als ik de voicemail van mijn dokter inspreek en zeg dat ik een hartaanval heb dan heb ik ook "gecommuniceerd". Maar om hem dan vervolgens kwalijk te nemen dat er niet binnen 5 minuten een ambulance staat is misschien niet helemaal netjes.
5 minuten is niet gelijk aan een paar dagen. Bij het AP moet je ook melden binnen 4 (dacht ik) dagen na ontdekken van het lek. Dat betekend: random onderzoeker mailt naar jou op maandag dat je server een SQL lek bevat, dan start de teller. Ongeacht of jouw CISO op vakantie is of niet moet jij dan uiterlijk donderdag een notificatie naar het AP gedaan hebben waarin jij wilt aantonen dat:
Je het lek zsm kan dichten/gedicht hebt.
Je een onderzoek hebt gestart om te bepalen of het lek misbruikt is.
Zo ja, welke gegevens zijn benaderd en welke klanten benadeeld zijn.
Als jij een van deze onderdelen mist vergroot je ontzettend de kans dat je klanten moet inlichten wat elk bedrijf wilt voorkomen. Deze onderzoek geeft aan nog niet eens één reactie te hebben ontvangen met: Bedankt voor het melden, wij pakken dit op en gaan onderzoeken hoe we dit zo snel mogelijk dicht kunnen zetten.
Staat een beetje in schraal contrast hé? Een volledig onderzoek of in ieder geval een ACK sturen binnen een paar dagen.
[...]Laten we nou eens proberen om de problemen op te lossen in plaats van alleen maar "BOE BOE" te roepen als er weer een of ander security bedrijf de media probeert te halen. Ik had me er nog beter in kunnen vinden als ze een username/pass en encryptie op de DB hadden gezet na enkele dagen geen reactie van GB: dan staat je data als klant in elk geval veiliger. En GB heeft dan alle reden om contact op te nemen om hun bedrijfsvoering te hervatten. Als je dan van harde actie houdt dan is dat wat mij betreft rechtvaardiger dan dit.
Het toevoegen van een username/password is strafbaar. Dan kan je opgepakt worden voor computervredebreuk. Dat risico wil je niet lopen als beveiligingsonderzoeker want dan krijg je nergens meer een baan. + de mogelijkheid tot verhalen van de schade indien GearBest een paar uur/dagen offline gaat.