Bugbountyplatforms zijn waardevol voor bedrijven, maar wat gebeurt er als een onderzoeker ook persoonlijke data achterhaalt? Waar ligt dan de verantwoordelijkheid van bijvoorbeeld HackerOne voor het verwijderen ervan? Op Black Hat blijkt dat daar nog een wereld te winnen is.
Dylan Ayrey spreekt als baas van securitybedrijf Truffle regelmatig met beveiligingsonderzoekers over wat er gebeurt nádat ze op bugbountyplatforms een coordinated vulnerability disclosure doen. Steeds vaker gaan die cvd's over bugs waarbij het mogelijk is persoonlijke data van gebruikers te achterhalen: namen, e-mailadressen, dat werk. Een goede, ethische hacker gaat daar zorgvuldig mee om. Dat staat ook zo beschreven in de voorwaarden van bugbountyprogramma's, zegt Ayrey tijdens securityconferentie Black Hat in Las Vegas. Maar daarna vraagt hij zich af wat de verantwoordelijkheid is van de platforms zelf of de bedrijven die de bug in behandeling nemen. "Ik heb met veel onderzoekers gesproken die meestal hetzelfde zeggen", vertelt Ayrey aan Tweakers. "Dat is dat het getroffen bedrijf vaak niets doet om ervoor te zorgen dat onderzoekers de data verwijderen."
Twee jaar in een ticket
Tweakers op Black Hat en DEF CON
Tweakers is deze week op de beveiligingsconferenties Black Hat en DEF CON in Las Vegas. Black Hat is een conferentie voor securityprofessionals, waar onderzoek wordt gepresenteerd, maar waar ook bedrijven nieuwe tools presenteren. DEF CON vindt in de dagen erna plaats en is een typisch hackersfeest met hackathons en villages waar hard- en software worden gekraakt.
Tijdens zijn presentatie geeft hij een paar voorbeelden. Bijvoorbeeld van een onderzoeker die via een AMPscript toegang kreeg tot de persoonsgegevens van duizenden Uber-gebruikers. Hij ontdekte dat hij met een bepaalde zoekopdracht alle resultaten kreeg van andere gebruikers die ergens zijn achternaam gebruikten. Een ander voorbeeld is een hacker die data kon zien van 'honderden miljoenen' Starbucks-klanten, maar toegegeven, dat was theoretisch. In de praktijk achterhaalde hij data van een handvol gebruikers om zijn bevindingen te verifiëren.
Ayrey heeft zelf ook met de situatie te maken gehad. Op de Black Hat-conferentie wilde hij er meer over vertellen, maar mocht dat niet van de grote bedrijven waarvoor hij bugbounty's had uitgevoerd; het was geheime, vertrouwelijke informatie. Van Google kreeg hij wél toestemming. Hij laat tijdens een presentatie zien hoe hij ruim twee jaar geleden een bug aandroeg waardoor hij data van tienduizenden Google-gebruikers kon inzien. Toen hij onlangs inlogde op het ticketsysteem van Google voor beveiligingsonderzoekers, zag hij dat hij nog steeds toegang had tot al die persoonsgegevens. Hij vroeg Google die te verwijderen, maar het bedrijf deed dat aanvankelijk niet. Pas toen hij erover wilde publiceren op Black Hat, gaf Google aan het ticket alsnog weg te gooien én om gelijk het interne proces rondom bugbounty's aan te passen.
Geen verwijderverzoek
Ayrey heeft niet veel te zeggen over de manier waarop bedrijven binnengekomen bugs patchen. Wat hem vooral opvalt, is wat er daarná gebeurt. "Elke keer als ik ethisch hackers vraag of ze een verzoek van het bedrijf hebben gekregen om de persoonsgegevens te verwijderen, zeggen ze nee. Dat verzoek krijgen ze nooit", zegt hij. De verantwoordelijkheid om dat te doen lijkt voornamelijk bij die hackers te worden neergelegd.
Bedrijven vragen onderzoekers zelden om gevonden data te verwijderen
Dat is eigenlijk een verkeerde instelling, denkt Ayrey. Hij vroeg de bugbountyonderzoekers in zijn netwerk namelijk ook iets anders: "Heb je nu nog toegang tot de persoonsgegevens via het ticketsysteem?" "Ook dan hoor je altijd ja." Hij was daar zelf met zijn Google-voorbeeld dus zeker niet de enige in. Bugbountyplatforms houden via zo'n ticketsysteem informatie bij over de bugs en in veel gevallen wordt bewijs van een kwetsbaarheid daarin meegestuurd, bijvoorbeeld als een csv met informatie. Die informatie hoeft in zo'n ticketsysteem niet afgeschermd te worden, zoals onderzoekers dat naderhand in blogposts wel doen. Ook als tickets zijn afgesloten, is het voor de onderzoekers vaak nog mogelijk de data in te zien.
Slachtoffers inlichten
Dan is er nog de vraag of slachtoffers wel worden ingelicht. Dat kan wettelijk verplicht zijn; onder de AVG moet een slachtoffer in sommige gevallen op de hoogte worden gebracht als zijn of haar data is buitgemaakt, maar je raadt het al, ook dat gebeurt vrijwel nooit. Beter gezegd, de onderzoekers met wie Ayrey spreekt, horen daar niets van. Ook als de onderzoekers data bemachtigen waarin ook hun eigen data zit, bijvoorbeeld als ze zelf een Starbucks-klant zijn, krijgen ze zelf geen melding, zegt Ayrey.
In sommige gevallen willen bedrijven dat hackers juist meer persoonsgegevens verzamelen, als bewijs
Ayrey ziet twee scenario's waarin een hacker persoonsgegevens kan verzamelen. Dat kan per ongeluk gebeuren of op z'n minst onbedoeld. "Bijvoorbeeld als een onderzoeker een blinde XSS-query doet", zegt hij. Hij noemt nog een tweede, problematischere situatie. "Dan vraagt een bedrijf zelf naar meer gegevens. Het wil dan dat een hacker zijn bevindingen verifieert of bewijst en een sample meestuurt met gegevens." Hij vindt dat een logisch verzoek. "In sommige gevallen krijgt een afdeling die bugs afhandelt, tientallen of honderden reports binnen. Het is dan lang niet altijd even helder welke daarvan legitiem zijn en welke je kunt negeren. Het is dan makkelijk om eerst bij de hacker om verificatie te vragen. Dat kost nu eenmaal minder tijd."
Trend
Ayrey moet toegeven dat hij geen harde cijfers heeft bij het onderwerp. Hij kan niet zeggen hoeveel bugbountyprogramma's of aangesloten bedrijven data bewaren en over het aantal hackers is dat evenmin bekend. "Maar ik hoor het steeds vaker als ik met bevriende onderzoekers spreek; ik zie zeker een trend." Niet alleen is het lastig om officieel onderzoek naar het fenomeen te doen, vaak spelen non-disclosure agreements mee, waardoor onderzoekers niets kunnen of mogen zeggen over de data die ze hebben gevonden. "Die nda's hebben zeker wel een plek, bijvoorbeeld als het gaat om medische data of als het gaat om kwetsbaarheden die de nationale veiligheid in gevaar kunnen brengen", zegt Whitney Merrill, die naast Ayrey op Black Hat spreekt. Merrill is privacyfunctionaris en ziet ook vaak voorkomen dat persoonsgegevens niet worden verwijderd uit bugbountymeldingen.
'Uitgaan van het ergste'
'De eerste keer dat legal hoort van je bugbountyprogramma moet niet na een datalek zijn'
Merrill geeft bugbountyplatforms en bedrijven trainingen en advies over het omgaan met gevoelige data. "Als je zoiets bouwt, moet je van het ergste uitgaan." Dat ergste is een datalek. Daarom pleit Merrill ervoor dat bedrijven die een bugbountyprogramma hebben, aansluiting zoeken bij hun juridische afdeling. Op die manier kunnen bedrijven beter beleid opstellen waarin duidelijk is gespecificeerd welke data ze wel en niet hebben, houden en vragen. "De eerste keer dat legal ontdekt dat je een bugbountyprogramma hebt, moet niet zijn als er een datalek is geweest", zegt Merrill.
/i/2005305288.png?f=fpa)
:strip_exif()/i/2006225226.jpeg?f=fpa)
:strip_exif()/i/2001426317.jpeg?f=fpa)
:strip_exif()/i/2004648160.jpeg?f=fpa)
/i/2004779058.png?f=fpa)
/i/2004612546.png?f=fpa)
:strip_exif()/i/2004804838.jpeg?f=fpa)
:strip_exif()/i/1263563744.gif?f=fpa)
:strip_exif()/i/1303128799.gif?f=fpa)
/i/2005307358.png?f=fpa)
/i/2001841111.png?f=fpa)
/i/2004634812.png?f=fpa)
:strip_exif()/i/2004648158.jpeg?f=fpa)
:strip_exif()/i/2004743102.jpeg?f=fpa)
:strip_exif()/i/2004648156.jpeg?f=fpa)
:strip_exif()/i/1398151713.jpeg?f=fpa)
:strip_icc():strip_exif()/u/63387/crop619c2ec45e26f_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community){kind=small}