Grootste responsible disclosure actie ooit informeert 15.000 websitehouders over kwetsbaarheden

Terug naar articles

15 november, 2016

Responsible Disclosure | Considerati

Afgelopen weken heeft startup DutchSec in samenwerking met het Threat Intel Center van EY en Considerati, het juridisch en public affairs adviesbureau voor de digitale wereld, meer dan 15.000 eigenaren van websites geïnformeerd over een zeer ernstige webserver configuratie fout.

Deze fout leidt tot ongewilde exposure van de GIT repository. In deze gegevens worden broncodes, wachtwoorden en andere voor cybercriminelen interessante data, aangetroffen. Hierdoor kan de website als opstapje worden gebruikt voor verdere hacks of kan een database per direct bevraagd worden. Het uiteindelijke gevolg is het lekken van miljoenen privacy gevoelige gegevens.

De tooling van DutchSec, genaamd ANAM, heeft eerst de Alexa-ranking top one million gescand op de vermoedde kwetsbaarheid. Binnen deze ranking bevinden zich vele A-merken, maar vooral ook websites met hele grote aantallen bezoekers. De websites waarbij de kwetsbaarheid is aangetroffen zijn direct geïnformeerd. De wijze van informeren is daarbij uniek: alle sites hebben persoonlijk bericht gehad. Daarmee is dit de grootste geregistreerde responsible disclosure actie ooit gedaan. DutchSec gaat de komende tijd de scan technisch uitbreiden en op verzoek van strategische partners ook meer gericht uitvoeren.

Inmiddels zijn diverse Computer Emergency Response Teams (CERTS) ingelicht, daar veel sites niet reageren op de gemelde kwetsbaarheid en daarmee een gevaar op het Internet doen laten voortbestaan. De gebruikte tooling zal overigens op korte termijn ook Open Source gemaakt worden. Vanwege het succes en de positieve reacties vanuit de Internet community heeft DutchSec hiervoor een apart initiatief opgericht welk zich langere tijd ingaat zetten voor een veiliger Internet. Klik hier voor meer informatie over de campagnes, resultaten en oplossingen.

Considerati20150514_-Nathalie0003
Nathalie Falot

Senior Juridisch Adviseur

Gerelateerde blogs

canstockphoto7397751

Hof van Justitie: Europese bewaarplicht ongeldig

Op 8 april 2014 heeft het Europese Hof van Justitie bepaald dat de richtlijn die providers...

Lees meer

Voorlopig akkoord bereikt Algemene Verordening Gegevensbescherming

BREAKING: Raadpleeg hier de volledige tekst van de Verordening Na vier jaar hebben de...

Lees meer

Op de hoogte blijven?

Schrijf je dan in voor onze nieuwsbrief. Zie ons privacy statement.