Home    DPC    Info

23-08-2011
Reacties op een lek

Ondanks alle berichten over websites die vatbaar zijn voor SQL injecties kom ik deze nog regelmatig tegen. Maar in deze blog wil ik het niet hebben over hoe en wat SQL injecties betreft, maar vooral de reacties van de sites en/of bedrijven.

Als ik een lek tegenkom stuur ik meestal meteen een mailtje naar de site met daarin uitleg over het hoe en wat en een stukje bewijs in de vorm van een screenshot. Ook vraag ik daarin om mij op de hoogte te houden van de vordering omtrent het oplossen van het lek. En dan is het wachten op de eerste reactie die bijna allemaal hetzelfde zijn.

Deze reactie begint meestal met een bedankje voor het melden en daar word dan meteen aan toegevoegd dat dit zo snel mogelijk word opgelost. Meestal volgt daarna meteen het verzoek om er geen blogitem of wat dan ook aan te weiden waar de bedrijfsnaam en/of URL word genoemd. Imagoschade is dus iets waar de meeste sites en bedrijven bang voor zijn, dat is begrijpelijk en meestal noem ik hun naam ook niet.

Hoe het dan verder gaat.

Soms, ja helaas, soms krijg ik binnen 1 dag een nieuwe mail, met de melding dat de bug is opgelost en als ik dit dan check is dat inderdaad zo, meestal stuur ik dan een mail met mijn complimenten voor de snelle oplossing. Ik wou dat het eigenlijk altijd zo netjes ging.

In andere situaties check ik na een week nog een keer het lek, deze is er nog. Na 2 weken is deze dan eindelijk gedicht en ik krijg geen feedback, terwijl ik daar in mijn melding vriendelijk om gevraagd had. Prima, het lek is gedicht en voor de rest interesseert het mij niet meer.

Sommige sites dichten het lek alleen voor 1 specifieke situatie maar laten de SQL errors gewoon nog naar het scherm printen. Soms lukt een SQL injectie dan nog steeds op een andere plek en stuur ik wederom een mail. Dan word het alsnog opgelost en stond de site na mijn eerste melding nog 2 maanden of langer open.

Ook krijg ik heel soms de reactie dat het niet gedicht kan worden. Dan stuur ik een uitleg terug met code voorbeelden en word het uiteindelijk toch gedicht. Al heb ik dan wel mijn twijfels over het niveau van deze bedrijven.

Overzicht

Hieronder een overzicht van mijn meldingen van de afgelopen 6 maanden. Hierin staat ook aangegeven of er wachtwoorden, persoons, medische en financiële gegevens instonden.

 7 gemelde websites.
 5 sites waren vatbaar voor SQL injecties.
 6 sites lekte persoonsgegevens.
 2 sites lekte financiële gegevens en transacties.
 1 site lekte paspoortgegevens.
 1 site lekte medische gegevens.
 1 site bevatte wachtwoorden in plain text.

Alle websites hebben de door mij gemelde lekken gedicht. Ik blijf me alleen wel verbazen of het aantal slecht beveiligde website waar soms erg gevoelige informatie opstaat, die zeker voor mensen met slechte bedoelingen erg bruikbaar zijn. Ik ga gewoon lekker verder met het melden van de lekken die ik tegenkom en gelukkig heb ik nog nooit een boze reactie of bedreiging terug gehad.

Tags : Website, Beveiliging, SQL, Exploit

Delicious Facebook Linkdin Twitter Rstat Bookmarks Hyves

Gerelateerde artikelen

Laat gerust een reactie achter!