Grootste responsible disclosure actie ooit informeert 15.000 websitehouders over kwetsbaarheden

Terug naar articles

15 November, 2016

Responsible Disclosure | Considerati

Afgelopen weken heeft startup DutchSec in samenwerking met het Threat Intel Center van EY en Considerati, het juridisch en public affairs adviesbureau voor de digitale wereld, meer dan 15.000 eigenaren van websites geïnformeerd over een zeer ernstige webserver configuratie fout.

Deze fout leidt tot ongewilde exposure van de GIT repository. In deze gegevens worden broncodes, wachtwoorden en andere voor cybercriminelen interessante data, aangetroffen. Hierdoor kan de website als opstapje worden gebruikt voor verdere hacks of kan een database per direct bevraagd worden. Het uiteindelijke gevolg is het lekken van miljoenen privacy gevoelige gegevens.

De tooling van DutchSec, genaamd ANAM, heeft eerst de Alexa-ranking top one million gescand op de vermoedde kwetsbaarheid. Binnen deze ranking bevinden zich vele A-merken, maar vooral ook websites met hele grote aantallen bezoekers. De websites waarbij de kwetsbaarheid is aangetroffen zijn direct geïnformeerd. De wijze van informeren is daarbij uniek: alle sites hebben persoonlijk bericht gehad. Daarmee is dit de grootste geregistreerde responsible disclosure actie ooit gedaan. DutchSec gaat de komende tijd de scan technisch uitbreiden en op verzoek van strategische partners ook meer gericht uitvoeren.

Inmiddels zijn diverse Computer Emergency Response Teams (CERTS) ingelicht, daar veel sites niet reageren op de gemelde kwetsbaarheid en daarmee een gevaar op het Internet doen laten voortbestaan. De gebruikte tooling zal overigens op korte termijn ook Open Source gemaakt worden. Vanwege het succes en de positieve reacties vanuit de Internet community heeft DutchSec hiervoor een apart initiatief opgericht welk zich langere tijd ingaat zetten voor een veiliger Internet. Klik hier voor meer informatie over de campagnes, resultaten en oplossingen.

Nathalie Falot

Senior Juridisch Adviseur

Gerelateerde blogs

Meldplicht datalekken en uitbreiding boetebevoegdheid CBP vanaf 1 januari 2016 van kracht

Vanaf 1 januari 2016 is de wetswijziging Meldplicht datalekken en de uitbreiding van de...

Lees meer

Anonimiseren en Pseudonimiseren | Considerati

Anonimiseren en pseudonimiseren: wat is het verschil en wat is het belang ervan?

Encryptie, hashing, anonimisering, pseudonimisering: het zijn tegenwoordig veel voorkomende...

Lees meer

Op de hoogte blijven?

Schrijf je dan in voor onze nieuwsbrief. Zie ons privacy statement.