nicht angemeldet
Was soll man tun, wenn man eine Sicherheitslücke finden?
Hallo,
Ich habe vor gut einer Woche in einer mittelgroßen Webpräsenz eine recht gravierende Sicherheitslücken gefunden und daraufhin dem Admin sofort ein E-Mail mit einer möglichen Problemlösung geschrieben. Da ich bis jetzt keine Antwort erhalten habe und die Sicherheitslücke immer noch vorhanden ist, gehe ich einmal davon aus, dass mein Versuch zu Helfen einfach ignoriert wurde. Gibt es eine Pflicht Daten so sicher wie möglich zu verwahren, soll ich noch einmal versuchen ein E-Mail zu schreiben, oder es schlicht ignorieren? Gibt es vielleicht staatliche Stellen wo ich soetwas melden kann?
Gruß,
Severin
--
They that can give up essential liberty to obtain a little temporary safty deserve neither liberty nor safty.
-- Benjamin Franklin
They that can give up essential liberty to obtain a little temporary safty deserve neither liberty nor safty.
-- Benjamin Franklin
-
Hallo Severin,
dass kommt darauf an...
Ist es eine öffentliche Stelle (Behörde)?
Eine Firma?
Was ist es für eine Sicherheitslücke?Du kannst es beim Verbraucherschutz probieren oder bei Datenschutzbeauftragten... je nach dem..
Viele Grüße
annA-
Hallo,
Es ist eine Firma und es handelt sich um unbearbeitet ausgelieferte PHP-Includedatein. Dort gibt es unter anderem die MySQL Zugangsdaten und vielleicht noch viel mehr zu finden. Da die Seite meines Wissens nach (nein, ich habe nicht versucht nachzuschauen) auch Kundendaten verarbeitet könnten die Informationen in den falschen Händen durchaus schaden anrichten.
Du kannst es beim Verbraucherschutz probieren oder bei Datenschutzbeauftragten... je nach dem..
Danke, ich werde einmal unsere Konsumentenschützer anrufen.
Gruß,
Severin--
They that can give up essential liberty to obtain a little temporary safty deserve neither liberty nor safty.
-- Benjamin Franklin
-
-
Hi,
eine wirksame, wenn auch sehr unbeliebte Methode: Bring es an die Presse, am besten noch unterstützt durch ein "proof of concept".
Der Yeti--
Habe nun, ach! WInfo, BWL, und Mathe, Und leider auch Info!
Durchaus studiert, mit heißem Bemühn. Da steh' ich nun, ich armer Thor!
Und bin so klug als wie zuvor!
sh:( fo:| ch:? rl:? br:< n4:& ie:( mo:| va:| de:[ zu:) fl:| ss:) ls:< js:|
[Link:http://community.de.selfhtml.org/fanprojekte/selfcode.htm]-
Hallo,
eine wirksame, wenn auch sehr unbeliebte Methode: Bring es an die Presse, am besten noch unterstützt durch ein "proof of concept".
Würde ich mich durch ein "proof of concept" nicht der Computersabotage oder Ausspähung von Betriebsgeheimnissen strafbar machen?
Gruß,
Severin--
They that can give up essential liberty to obtain a little temporary safty deserve neither liberty nor safty.
-- Benjamin Franklin-
Hi,
Würde ich mich durch ein "proof of concept" nicht der Computersabotage oder Ausspähung von Betriebsgeheimnissen strafbar machen?
Wahrscheinlich. Aber wie immer: Rechtsverbindliche Auskünfte erteilt nur ...
Kannst dich ja mal an den Chaos Computer Club wenden, die haben Erfahrung mit sowas. ;-)Der Yeti
--
Habe nun, ach! WInfo, BWL, und Mathe, Und leider auch Info!
Durchaus studiert, mit heißem Bemühn. Da steh' ich nun, ich armer Thor!
Und bin so klug als wie zuvor!
sh:( fo:| ch:? rl:? br:< n4:& ie:( mo:| va:| de:[ zu:) fl:| ss:) ls:< js:|
[Link:http://community.de.selfhtml.org/fanprojekte/selfcode.htm]
-
-
-
Tach,
Ich habe vor gut einer Woche in einer mittelgroßen Webpräsenz eine recht gravierende Sicherheitslücken gefunden und daraufhin dem Admin sofort ein E-Mail mit einer möglichen Problemlösung geschrieben. Da ich bis jetzt keine Antwort erhalten habe und die Sicherheitslücke immer noch vorhanden ist, gehe ich einmal davon aus, dass mein Versuch zu Helfen einfach ignoriert wurde. Gibt es eine Pflicht Daten so sicher wie möglich zu verwahren, soll ich noch einmal versuchen ein E-Mail zu schreiben, oder es schlicht ignorieren? Gibt es vielleicht staatliche Stellen wo ich soetwas melden kann?
versuch es doch mal bei Heise (newstips@heise.de), die haben sicher Erfahrungen mit sowas, und erhalten eher eine Reaktion als du.
mfg
Woodfighter -
Hallo, Severin!
Ich habe vor gut einer Woche in einer mittelgroßen Webpräsenz eine recht gravierende Sicherheitslücken gefunden und daraufhin dem Admin sofort ein E-Mail mit einer möglichen Problemlösung geschrieben. Da ich bis jetzt keine Antwort erhalten habe ...
vielleicht nochmal nach der email-adresse der geschäftsführung suchen? oder nach einer (möglichst kostenlosen) hotline-nummer? oder evtl. angegebene namen im telefonbuch suchen?
ich hab die erfahrung gemacht, dass grosse firmen, wie z.b. elitegroup-deutschland eher verschnupft auf solche hinweise reagieren, als danke zu sagen. :-/freundl. Grüsse aus Berlin, Raik
-
Moin.
Da ich bis jetzt keine Antwort erhalten habe und die Sicherheitslücke immer noch vorhanden ist, gehe ich einmal davon aus, dass mein Versuch zu Helfen einfach ignoriert wurde.
Ja, sowas gibts. Ich habe Mitte Juni ([Link:http://forum.de.selfhtml.org/archiv/2004/6/t82380/]) auf eine Lücke im selfHTML-Formmailer (http://aktuell.de.selfhtml.org/tippstricks/cgiperl/form-mail/index.htm) aufmerksam gemacht, und das Ding ist immernoch unverändert hier auf dem Server zu finden...
Gruß Frank