Deze blogpost is deel vier van een serie en de derde over specifieke issues met betrekking tot Hâck The Hague 2023 en dat geeft gelijk al een hint over het verloop van het CVD proces: langdurig en moeizaam. Dat is niet te wijten aan individuele medewerkers van de gemeente die ik heb gesproken. Zeker als ik ze buiten e-mail om spreek, zijn het stuk voor stuk vriendelijke mensen die dit goed willen oplossen....
Op 31 juli heb ik bij de gemeente Den Haag een aantal issues gemeld. Het hele proces is nogal moeizaam verlopen. Elke keer als ik telefonisch of persoonlijk contact heb met medewerkers van de gemeente heb ik het gevoel dat we elkaar begrijpen, maar van de geschreven communicatie krijg ik het idee dat er gigantische miscommunicatie is of dat de gemeente terugkomt op toezeggingen. Pogingen om in te gaan op de uitnodiging om te overleggen over wat er fout gaat en hoe het beter kan worden door de gemeente genegeerd....
“Wij zullen jouw gegevens niet aan derden verstrekken zonder jouw voorafgaande toestemming, …” jokt de gemeente Den Haag in het privacybeleid van de 2023 editie van Hâck The Hague. Tijdens de 2021 editie van het evenement van de gemeente Den Haag heb ik een paar issues gemeld waarbij de (partner van de) gemeente juist wel zonder toestemming persoonsgegevens aan derden verstrekte en dat proces is behoorlijk slecht bevallen. Dit jaar wilde ik controleren of er geleerd is van de vorige melding....
TLDR: It depends.
People who discover bugs and security vulnerabilities and want to improve security by publishing about their findings generally have a substantial task managing competing interests in the process. Publishing your findings can help others learn from that single mistake by installing a known patch, learning what mistakes not to make when building systems, knowing what vendors to avoid or taking other measures. However publishing can also introduce risks by informing people how to abuse vulnerabilities....
A common theme when trying to report unlawful tracking on websites and apps is that it can be ambiguous whether CVD is meant for these kinds of issues. Is it really a security vulnerability or even a breach of security? My assumption is that generally security policies dictate that security measures are in place to protect against unauthorised and unlawful disclosures of personal data. If that’s the case, when I find unlawful disclosure of personal data I assume there has been a breach of security policy or even technical measures and that it’s fair to report under CVD to allow the organisation to stop the breach and take appropriate measures to prevent further breaches....
While discussing Coordinated Vulnerability Disclosure I often experience that people strongly focus on coordinating the vulnerability information with organizations, while the disclosure part is often ignored or even actively discouraged. The last blog I wrote here was actually about a company that argued I had agreed to an enforceable non-disclosure agreement just by visiting their website and reporting a breach. Like my other CVD-related posts, this too is mainly focussed on lessons about the disclosure process....
Op 27 september 2021 heeft de gemeente Den Haag samen met Cybersprint het evenement Hack the Hague georganiseerd. Hackers van over de hele wereld konden zich inschrijven en onder gecontroleerde omstandigheden de beveiliging van verschillende systemen testen zodat de gemeente en de leveranciers van de gemeente de beveiliging kunnen verbeteren. Dat zorgt voor goede PR voor de gemeente, lost de (meeste) gemelde beveiligingsproblemen op, laat de gemeente en de leveranciers oefenen met het snel oplossen van problemen en is voor de hackers een leuk evenement met een kans op prijzen....
Vandaag heeft het Minister Opstelten (Veiligheid en Justitie) een leidraad gepubliceert over het verantwoord melden van beveiligingslekken. Na een periode van veel media-aandacht voor beveiligingslekken en arrestaties van hackers heerst er veel onzekerheid. Hackers durven niet meer bedrijven te helpen en bedrijven reageren vaak in paniek. Ik zou graag zien dat het onderlinge vertrouwen weer hersteld wordt.
Het initiatief van Opstelten is een goede stap vooruit. Door als overheid aan te geven dat je de hulp van hackers goed kan gebruiken en duidelijke richtlijnen te geven voor wat acceptabel is en wat niet verwacht ik dat het vertrouwen tussen overheid en hackers versterkt kan worden....
Op maandag 29 oktober komt ICT~Office met het bericht dat telecomproviders in Nederland met een responsible disclosure beleid komen. Dat vind ik een erg goede ontwikkeling, maar dat is geen reden om niet kritisch te zijn. In deze blogpost vergelijk ik het responsible disclosure beleid van deze telecombedrijven en leg ik voor elk punt uit waarom dat belangrijk is.
Deze pagina zal voorlopig regelmatig updates krijgen. Zowel inhoudelijk als voor het aanvullen van ontbrekende bedrijven....