Hackmeldpunt

2012-08-30 – Revspace deelnemers hebben een meldpunt geopend waar anoniem melding gemaakt kan worden van lekken in websites

Zie ook: hackmeldpunt.nl

Regelmatig krijgen wij hackers over de vloer die lekken gevonden hebben, maar deze niet durven te melden. Immers, niet alle bedrijven begrijpen dat je alleen maar probeert te helpen.

Anoniem melden is dan een oplossing, maar anonieme meldingen worden vaak niet serieus genomen, en men kan geen reactie sturen. En er zijn zat bedrijven die überhaupt niet kunnen omgaan met e-mail. RevSpace heeft hierom besloten om een meldpunt te maken waar hacks anoniem kunnen worden aangemeld. Wij zullen dan (indien mogelijk) deze lekken aanmelden bij de betreffende partijen en indien nodig ook publiceren. Reageert men niet op e-mail, dan bellen we even.

Heb je een lek gevonden, dan kun je het melden via meldanoniem @@@ revspace.nl – Geef ook even een proof of concept en overige info die je kunt verstrekken; wij spelen graag voor doorgeefluik, maar hebben niet altijd zin en tijd om zelf op zoek te gaan.

Gebruik Tor en een anoniem (web)mailaccount om je anonimiteit te beschermen. Wat we niet weten, kunnen we ook niet per ongeluk lekken.

• 2012/08/30: Update: Dat ging snel! Het eerste lek, in een website van een bekende Nederlandse organisatie, is al gemeld. We kennen mensen bij de ISP die de site host, en die gaan ermee aan de slag.
  • De volgende ochtend kregen we twee positieve mailtjes en de volgende reactie op IRC: Via meldanoniem @@@ revspace.nl een melding binnengekregen, gisteravond om half elf ivm een gat in een site van een klant van ons, en dat hebben we gedicht. Dus ik wil de melder bedanken voor het melden, en ook doorgeven dat we wat met de melding hebben gedaan! H. Acker bedankt voor het melden van de LFI exploit!
  • De ISP heeft ook getweet: Thanks from our customer to hackersgr. @revspacenl for forwarding us a vulnerability in their well known site. http://twitter.com/cloudvps/status/241468149374013440

• 2012/08/31: En weer een melding, ditmaal over een XSS lek. We hebben de melding doorgestuurd naar een bekend contactpersoon.
  • Reactie: Dank voor de melding, we gaan hier gelijk mee aan de slag. Eind deze dag is dit nog gerepareerd. Complimenten voor jullie initiatief, dit had heel anders af kunnen lopen.

• 2012/08/31: Nr 2 van vandaag, een private information leak, is ook ontvangen. De melding is doorgestuurd naar de provider, en het contact-form van de betreffende site, wegens een verder compleet gebrek aan beschikbare contact-info.

• 2012/09/15: Weer een melding van grote gapende gaten in een vacaturesite. Met een flinke datalek op gevoelige gegevens. Het is wederom bij een ISP waar we zeer goede contacten hebben, en binnen 1 uur hadden we een reactie. Gezien het weekend is verwachten we pas volgende week een fix.
  • 2012/09/17: Reactie van de site-eigenaar: Het is ons bekend. Wij gaan de wachtwoorden hashen en er wordt een beveiligingslaag geïmplementeerd die de input van de gebruiker gaat valideren. Het probleem is dus bekend bij de site, en er wordt aan gewerkt. Wij hebben alleen nog niet echt het idee dat ze de noodzaak en stekking van het probleem door hebben… To be continued.
  • 2013/01/03: De hoster gaf ook nog terugkoppeling: De site is aangepast, de exploit zoals gemeld werkt in ieder geval niet meer.

• 2012/09/17: Wederom een nieuwe melding m.b.t. een SQL injection. Deze keer in de website van een decentrale overheid. Het probleem is per e-mail aan de organisatie gemeld.

• 2012/09/24: Melding van een SQL injection bij een opleidings-instituut. Belangrijke persoons-informatie is voor een ieder iets te gemakkelijk op te vragen. Contact wordt gezocht met het instituut.
  • 2012/09/25: Contact opgenomen met de partij die het betreffende CMS beheerd. Het was een geval van een al bekend probleem dat al opgelost was in een nieuwe CMS versie. Deze oude versie op de betreffende site zal worden geupdate.
  • De betreffende bug is gefixed, en de CMS-leverancier gaat al hun andere klanten ook testen en indien nodig inlichten.

• 2013/01/06: Melding over diverse lekken in een website van een regionale ISP. Helaas zonder PoC. We gaan contact opnemen.

• 2013/06/17: Melding van een paar dagen oud over een wachtwoordenlijst van een middelbare school. Met de logingegevens waren leerlinggegevens en tentamencijfers te benaderen. De school heeft wachtworden aangepast en zal het scherper in de gaten houden.

Read more