Skip to content

Derde van meldingen kwetsbaarheden niet opgepakt

Would you like to recommend this contribution? This can be done via:

Als ethische hackers een kwetsbaarheid vinden in de software- of webtoepassing van een bedrijf en dat rapporteren, dan blijft die melding dikwijls zonder gevolg. Doorgaans ook omdat er bij de betreffende organisatie geen procedure is voor dergelijke securitymeldingen.

 

Dat alles blijkt uit een onderzoek van Intigriti, een platform van ethische hackers, bij hun leden. Ongeveer duizend hackers namen deel aan het onderzoek. Meestal gaan zij gericht op zoek naar kwetsbaarheden, op vraag van klanten. Maar soms komen zij dergelijke kwetsbaarheden ‘onderweg’ tegen. Zoiets blijkt regelmatig voor te vallen. ‘Ruim zeventig procent van de hackers, onder wie ikzelf, gaf aan om ooit al zo’n lek ‘in het wild’ gevonden te hebben. Om dat vervolgens te melden bij de betreffende organisatie’, vertelt Inti De Ceukelaire, hacker community manager bij Intigriti.
Alleen blijkt zo’n melding niet altijd even eenvoudig. Zeker niet als een responsible disclosure, die zo’n melding mogelijk maakt, ontbreekt bij de betreffende organisatie.

Klantendienst

Uiteindelijk rapporteren de hackers zo’n melding wel. Vaak via de klantendienst van het bedrijf. Meer dan de helft (54 procent) rapporteerde op die manier zo’n lek. ‘We zien dat zo’n melding daar vaak verloren gaat. Soms omdat ze daar als spam wordt beschouwd, of omdat medewerkers de betreffende hacker niet geloven, dat gebeurt ook’, stelt De Ceukelaire.

Wat is dan de effectiefste manier om iets te laten fixen? ‘Dat zal je niet verwonderen. Dat zijn sociale media als LinkedIn. Al is dat op zich gek, want meestal komen zulke meldingen dan niet rechtstreeks bij de juiste persoon terecht, maar zijn er anderen – vaak buitenstaanders – die het eerst zien.’

Eén op drie

Met als gevolg van dit alles dat in één op drie gevallen zo’n melding rond kwetsbaarheid zonder gevolg blijft, en dus niet wordt opgelost. ‘Dat is best een hoog aantal. Al verbetert het licht’, weet hij. ‘Vroeger was dat meer dan de helft. Onder meer de komst van de GDPR-wetgeving heeft dit doen verbeteren. Organisaties zijn hierdoor meer bekommerd geraakt om hun data, en zeker van die van hun klanten.’

 

Also read:

EasyComp Host launches renewed website with doubled server capacity and lower prices!

We are proud to announce that EasyComp Host has launched a revamped website with even more powerful hosting options. In addition to our new website, we have doubled the capacity of our server rack, and we are completely under our own management. This means that we are able to keep our prices as low as possible while continuing to provide our customers with the best service. As a result, we are able to offer up to 5x more than was previously the case, and all for a Zeeland price!

Subpostmaster campaigning forces government to set up compensation scheme and make interim payments

Subpostmaster campaign group is a step closer to achieving what it was originally set up to do as government launches compensation scheme for its members who did not receive fair payouts

UK tech has 2.8% gender ‘wage gap’, says Hired

The wage offered to women for tech jobs in the UK is 2.8% less than offered to male counterparts – a larger gap than in the US and Canada, says Hired

Government won’t regulate on professional cyber standards

The government has elected not to proceed with regulatory intervention to embed standards and pathways across the cyber profession

Two-thirds of UK organisations defrauded since start of pandemic

Nearly two out of three UK companies say they have experienced some form of fraud or economic crime in the past two years, according to a report

Hydrogen’s promise: How fuel cells might power lower-carbon datacentres

Could UK datacentre operators soon adopt emerging hydrogen technologies to reach expanding energy and emissions requirements?

Would you like to recommend this contribution? This can be done via:

Klaar voor de beste oplossing voor uw IT & ICT-situatie?

Ik heb mijn wachtwoord gewijzigd in “onjuist.” Dus wanneer ik vergeet wat het is, zal de computer zeggen: “Uw wachtwoord is onjuist.”