Derde van meldingen kwetsbaarheden niet opgepakt

Als ethische hackers een kwetsbaarheid vinden in de software- of webtoepassing van een bedrijf en dat rapporteren, dan blijft die melding dikwijls zonder gevolg. Doorgaans ook omdat er bij de betreffende organisatie geen procedure is voor dergelijke securitymeldingen.

 

Dat alles blijkt uit een onderzoek van Intigriti, een platform van ethische hackers, bij hun leden. Ongeveer duizend hackers namen deel aan het onderzoek. Meestal gaan zij gericht op zoek naar kwetsbaarheden, op vraag van klanten. Maar soms komen zij dergelijke kwetsbaarheden ‘onderweg’ tegen. Zoiets blijkt regelmatig voor te vallen. ‘Ruim zeventig procent van de hackers, onder wie ikzelf, gaf aan om ooit al zo’n lek ‘in het wild’ gevonden te hebben. Om dat vervolgens te melden bij de betreffende organisatie’, vertelt Inti De Ceukelaire, hacker community manager bij Intigriti.
Alleen blijkt zo’n melding niet altijd even eenvoudig. Zeker niet als een responsible disclosure, die zo’n melding mogelijk maakt, ontbreekt bij de betreffende organisatie.

Klantendienst

Uiteindelijk rapporteren de hackers zo’n melding wel. Vaak via de klantendienst van het bedrijf. Meer dan de helft (54 procent) rapporteerde op die manier zo’n lek. ‘We zien dat zo’n melding daar vaak verloren gaat. Soms omdat ze daar als spam wordt beschouwd, of omdat medewerkers de betreffende hacker niet geloven, dat gebeurt ook’, stelt De Ceukelaire.

Wat is dan de effectiefste manier om iets te laten fixen? ‘Dat zal je niet verwonderen. Dat zijn sociale media als LinkedIn. Al is dat op zich gek, want meestal komen zulke meldingen dan niet rechtstreeks bij de juiste persoon terecht, maar zijn er anderen – vaak buitenstaanders – die het eerst zien.’

Eén op drie

Met als gevolg van dit alles dat in één op drie gevallen zo’n melding rond kwetsbaarheid zonder gevolg blijft, en dus niet wordt opgelost. ‘Dat is best een hoog aantal. Al verbetert het licht’, weet hij. ‘Vroeger was dat meer dan de helft. Onder meer de komst van de GDPR-wetgeving heeft dit doen verbeteren. Organisaties zijn hierdoor meer bekommerd geraakt om hun data, en zeker van die van hun klanten.’

 

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses artificial intelligence and machine learning to reduce spam. See how your comment data is processed.

Related posts

Major security vulnerability discovered in popular 3CX desktop app, extensive explanation and summary.

This blog post discusses a security vulnerability discovered in the popular 3CX desktop app, a software used by many large businesses worldwide. The blog post begins by describing the official 3CX desktop app and how it is used as a replacement for traditional business phone lines. It then delves into the discovery of unexpected malicious activity originating from the 3CX desktop app by security analysts from CrowdStrike. The company's response to the discovery is criticized and the lack of preparedness of many large businesses for malware attacks is highlighted. The blog post continues with a technical explanation of how the security vulnerability works, including the presence of malicious DLL files and the encryption of malicious payloads. The severity of the security vulnerability is emphasized as it can affect hundreds or even thousands of companies using the 3CX desktop app.

Read more

Autodiefstal met USB-kabels

In deze blog bespreken we de ontwikkelingen op het gebied van autodiefstal met USB-kabels. We leggen uit hoe autodieven met deze methode te werk gaan en hoe fabrikanten proberen dit probleem aan te pakken. We bespreken enkele mogelijke oplossingen, waaronder software-updates en fysieke beveiligingsmaatregelen, om deze vorm van autodiefstal te voorkomen.

Read more

Hackers nemen Iraanse televisie over

Hackers hebben onlangs Iraanse live televisie overgenomen en kijkers aangespoord om geld van hun bankrekeningen op te nemen om de valuta van het land te ontwrichten. De hackers roepen op tot opstand tegen de regering.

Read more
You are all caught up, this was the last message.
  • Tags

  • Categories

  • Archives

  • Skip to content