Een groep Nederlanders heeft een website gelanceerd waar hackers op anonieme wijze beveiligingslekken in websites en webapplicaties kunnen melden. De website responsible-disclosure.com heeft een internationaal karakter, maar richt zich initieel op Nederland. "De bedoeling van de website is dat mensen die datalekken hebben gevonden die bij ons aanmelden", zegt woordvoerder Pieter Hordijk tegenover Securty.nl. De website neemt dan contact op met de eigenaar of ontwikkelaar van de site, en zal die de tijd geven om het probleem op te lossen. "Nadat het is opgelost, of wanneer de eigenaar niet binnen een reële tijd wil meewerken, zullen we de datalekken publiceren", aldus Hordijk. Op dit moment zijn er nog geen zaken gepubliceerd, hoewel de leden van de site al verschillende "grote zaken" hebben aangemeld, merkt Hordijk op. Na de lancering, die deze week zou moeten plaatsvinden, wordt met het openbaren van zaken begonnen.
Stok
"In principe zullen we alles proberen om te zorgen dat het zo snel mogelijk opgelost zal worden." Volgens Hordijk zal voor veel websites en bedrijven de dreiging van publicatie een flinke stok achter de deur zijn. "Als het echt niet anders kan (last resort) zullen we het betreffende bedrijf dwingen door de zaak te publiceren. Hiervoor zullen we meerdere malen getracht hebben het probleem op te laten lossen." Hierbij speelt wel de ernst van de kwetsbaarheid een rol.
Het snel oplossen van kwetsbaarheden zoals cross-site scripting en SQL-injection is een belangrijke maatregel om datalekken te voorkomen. "Aals het lek bij ons bekend is, is de kans zeer aanwezig dat het ook bij mensen met minder goede bedoelingen bekend is", gaat Hordijk verder. Het blijkt natuurlijk de vraag hoe de website met gerapporteerde kwetsbaarheden omgaat en die bijvoorbeeld niet zal misbruiken of doorverkopen.
Reputatie
Nergens staat een naam, telefoonnummer of andere informatie op de website vermeld, hoewel Hordijk bewust wilde worden genoemd om het transparante karakter van de site te benadrukken. "Het is de bedoeling om een goede reputatie op te bouwen. Mensen kunnen altijd contact met ons opnemen middels ons contactformulier. We hopen dat, nadat we een aantal cases hebben gepubliceerd, we genoeg vertrouwen hebben opgebouwd. Wij willen er in ieder geval alles aan doen om te zorgen dat onze bronnen, indien gewenst, anoniem blijven."
Aansprakelijk
De website loopt mogelijk risico dat als het gerapporteerde lekken gaat publiceren die niet tijdig zijn opgelost, het door het bedrijf in kwestie aansprakelijk wordt gesteld. "Het is niet zo dat we er bang voor zijn, maar we houden er wel rekening mee dat het ooit zou kunnen gebeuren.
Wij proberen zo transparant en correct als mogelijk de zaken af te handelen om dit te voorkomen.
Helaas zien wij wel in dat we het misschien nooit helemaal zouden kunnen voorkomen. Het feit dat de informatie van personen (onvrijwillig) vrij beschikbaar is vinden wij echter van een groter belang", laat Hordijk weten.
Overheid
Onlangs werd het Nationaal Cyber Security Center (NCSC) gelanceerd, dat ook een coördinerende rol wil gaan spelen in het doorgeven van beveiligingslekken. Het NCSC zal echter opgeloste kwetsbaarheden niet publiceren. "Het NCSC is een overheidsorganisatie. Onze ervaring is dat het NCSC niet altijd even snel is en soms zelfs pas actie onderneemt als het al te laat is", stelt Hordijk. Hij wijst naar de publicatie van een factsheet over SCADA-lekken op de dag dat EenVandaag aantoonde dat Nederlandse sluizen en bruggen slecht beveiligd tegen hackers zijn.
"Daar komt bij dat het NCSC zich voornamelijk richt op de rijksoverheid en zogenaamd 'vitale' sectoren." Toch staat Hordijk open voor samenwerking. "Indien het NCSC of een andere beveiligingsorganisatie interesse heeft zijn wij altijd bereid om mee te werken en onze informatie, exclusief onze bronnen, te delen."
Veiligheid
Een website die meldingen over lekken in websites gaat coördineren moet vanzelfsprekend ook goed beveiligd zijn. "We hebben verschillende zaken geïmplementeerd om misbruik te voorkomen", zegt Hordijk. Hij vertrouwt erop dat leden ook problemen op de website zullen proberen te vinden. "We zitten er ook aan te denken om een 'beloningssysteem' te implementeren, maar hierover zijn we nog in overleg."
Bron: Security.nl