Anoniem beveiligingsproblemen melden: hackmeldpunt

Sommige organisaties zien niet in dat hackers die keurig melding doen, daarmee juist willen helpen. Zulke organisaties grijpen meteen naar “stank voor dank” en doen aangifte van computervredebreuk.

Bij Revelation Space, de hackerspace van Den Haag, bleek dat meerdere hackers om deze reden alleen anoniem melding durven te doen. Het Hackmeldpunt kan hierin een rol spelen als doorgeefluik. Via dit meldpunt kunnen hackers anoniem melding doen van de beveiligingsgaten die zij hebben gevonden. De hacker meldt wat ie heeft gevonden, en zij nemen contact op met de betreffende organisatie. Als het moet, telefonisch.

Het doel is dat het lek of beveiligingsgat gedicht wordt, zodat er geen misbruik van gemaakt kan worden. Dat betekent dat publicatie van een lek geen doel op zich is, en van dat middel pas gebruik wordt gemaakt als dat nodig is om een organisatie duidelijk te maken dat ze zo’n melding serieus moeten nemen, en werk moeten maken van het dichten van een lek.

Op dit moment is het Hackmeldpunt nog in ontwikkeling. Wel kunnen hacks alvast worden aangemeld via meldanoniem @@@ revspace.nl; (1x @) na de verhuizing van Revelation Space wil men het melden van lekken makkelijker maken via een webformulier.

De mensen achter het meldpunt adviseren melders om hun eigen anonimiteit te beschermen door Tor te gebruiken, want “wat je niet hebt, kun je ook niet per ongeluk lekken.” Een goede vuistregel als je weer eens een database inricht, of gebruikers om gegevens vraagt. Heb je die geboortedatum echt nodig?