Gerne #boost : An alle hier, die für #Webseiten verantwortlich oder für #itsicherheit zuständig sind: Habt ihr für das #ResponsibleDisclosure eine Security.TXT auf eurer / euren Webseiten hinterlegt?

#ccamp23 #schufa #Bonify #responsibledisclosure
Immer wieder erfrischend und außerordentlich unterhaltsam: Vortrag von Lilith Wittmann
https://media.ccc.de/v/camp2023-57571-jens_spahns_credit_score_is_very_good

#Digitalministerium gehackt, weil sie ihr #Ivanti nicht aktualisiert haben. Einmal mit Profis …
https://nl-link.sueddeutsche.de/u/nrd.php?p=nUavi6eT5t_35415_3646756_1_19&ems_l=6188398&d=MzUwMDA1Nzc4%7CblVhdmk2ZVQ1dA%3D%3D%7CU1pfYW1fQWJlbmRfMDIwODIz%7C%7C&_esuh=_11_0d9a8f2c0668a93abfacf2cb9d3ae35dd65a3d68681f6310c2faecd0710a697c
Das schönste ist ja, dass wegen des Hackerparagraphen in Kartoffelland #ResponsibleDisclosure nicht möglich ist. Und sich die Hacker_in(en) deswegen an die SZ gewandt hat/haben. Wegen Quellenschutz.^^
#WissingRücktritt wann?

🚨 𝙋𝙖𝙩𝙘𝙝 𝙣𝙤𝙬! 🚨
🚨 𝙇𝙖𝙤𝙠𝙤𝙤𝙣 𝙎𝙚𝙘𝙪𝙧𝙞𝙩𝙮 𝙛𝙞𝙣𝙙𝙚𝙩 𝙇𝘿𝘼𝙋-𝙄𝙣𝙟𝙚𝙘𝙩𝙞𝙤𝙣 𝙎𝙘𝙝𝙬𝙖𝙘𝙝𝙨𝙩𝙚𝙡𝙡𝙚 𝙞𝙣 𝙒𝙤𝙧𝙙𝙋𝙧𝙚𝙨𝙨 𝙋𝙡𝙪𝙜𝙞𝙣! 🚨

Während eines kürzlich durchgeführten Penetrationstests entdeckten Luca Greeb und Andreas Krüger eine LDAP (Lightweight Directory Access Protocol) Injection-Schwachstelle im "Active Directory Integration / LDAP Integration Login for Intranet Sites"-Plugin für #wordpress.

Die Schwachstelle wurden anschließend im Rahmen eines Responsible Disclosures an die Entwickler gemeldet.

𝗗𝗶𝗲 𝗦𝗰𝗵𝘄𝗮𝗰𝗵𝘀𝘁𝗲𝗹𝗹𝗲 𝘄𝗶𝗿𝗱 𝘂𝗻𝘁𝗲𝗿 𝗖𝗩𝗘-𝟮𝟬𝟮𝟯-𝟯𝟰𝟰𝟳 𝗴𝗲𝗳ü𝗵𝗿𝘁!

Weitere Informationen gibt es auf der Seite von WordFence: https://lnkd.in/ejmx97M8

#itsicherheit #itsecurity #cybersicherheit #cybersecurity #penetrationtest #vulnerability #responsibledisclosure

So, since they don't seem to care enough to read and respond to #ResponsibleDisclosure reports, how do we get them to fix it?

All I can think of is:

(1) Mass complaints. I gave you the CPO's email address earlier in this thread. Maybe they'll pay attention if they get hundreds of complaints?

(2) Media inquiries. Big #companies tend to pay #attention to problems once they're being asked to #comment on a forthcoming #news story about them.

[...]

Super interesting so far.

Now they're talking a little about Ukraine's #cybersecurity and #ResponsibleDisclosure

#WebCast #BSidesUme

It's a childish thing to be thrilled about something that simple, but I made it onto the hall of fame for discovering an Internet-exposed admin panel on my Universities network. The little things in life ...

Frankly, I didn't expect that this would grant me a place on the hall of fame, but I have to admit, it's a motivator to dig deeper.

https://www.utwente.nl/en/cyber-safety/responsible/hall-of-fame/

#hackerman #responsibledisclosure

US government warning! What if anyone could open your garage door? - Grab a message/Play it back/You've just performed/A big phat hack... https://nakedsecurity.sophos.com/2023/04/05/us-government-warning-what-if-anyone-could-open-your-garage-door/ #responsibledisclosure #vulnerability #vulnerbility #cybercrime #privacy #hacking #nexx #iot

Hoe wordt ethisch hacken beoordeeld vanuit het #strafrecht? Welke voorwaarden gelden er?

Zie https://www.cybercrimeadvocaten.nl/cybercrime/ethisch-hacken voor meer informatie over CVD en het strafrecht.

#whitehat #ethicalhacking #hackingisnotacrime #cvd #responsibledisclosure

A glimmer of hope:

The other day, I sent a responsible disclosure email to the government of Malaysia with a cc: to CERT. It is not the first time I have done something like that (quite the contrary, actually). BUT:

This is the first time that within an hour or so of sending the email, I got an actual response from CERT thanking me and telling me that they had reached out to the entity.... AND:

In less than 36 hours, the leak was closed.

Fingers crossed that their responsiveness is their new normal.

And if anyone from Malaysia's govt reads this: it would be helpful if the govt's website prominently displays an email contact for reporting any cybersecurity concerns. Finding an addy was not easy and I never did hear back from the email addresses at gov.my that I sent to.

#ResponsibleDisclosure #DataLeak #infosec #cybersecurity

Yesterday I forgot "responsible" in responsible disclosure and called it honourable disclosure, this need to become a thing. #ResponsibleDisclosure #HonourableDisclosure

zum Feierabend gibt's heut den netzpolitischen Abend von @digiges zum Thema #responsibledisclosure mit @roofjoke @evawolfangel @kantorkel @littledetritus
ich guck mir das um 20 Uhr im live-stream an, freu mich schon
https://digitalegesellschaft.de/2023/03/124-netzpolitischer-abend/

"Danke für den Hinweis, Anzeige ist raus"

Morgen geht's beim Netzpolitischen Abend der @digiges um Sicherheitslücken, Datenlecks und #ResponsibleDisclosure.

Tolle Referent:innen: @evawolfangel @kantorkel und @littledetritus

Ich darf mal wieder moderieren. Kommt vorbei oder schaltet den Stream ein: https://digitalegesellschaft.de/2023/03/124-netzpolitischer-abend/

#NPA124

Sentara Health notifying 741 patients after mistake by Coronis Health employee: https://www.databreaches.net/sentara-health-notifying-741-patients-after-mistake-by-coronis-health-employee/

Good example of the value of having a compliance hotline or data security reporting number displayed on your website.

#databreach #dataprotection #infosec #responsibledisclosure #HealthSec #businessassociate

🆕 blog! “Responsible Disclosure: Abandoned Buckets and Billing Emails”

A few weeks ago, I received a billing email from my phone provider O21. While glancing at it, I noticed all the images were broken. Viewing the source of the email showed that they were all coming from http:// mcsaatchi-email-preview.s3.amazonaws.com/o…

👀 Read more: https://shkspr.mobi/blog/2023/02/responsible-disclosure-abandoned-buckets-and-billing-emails/
⸻
#CyberSecurity #o2 #ResponsibleDisclosure #telefonica

Firma lässt Adminpasswort für Weboberfläche mit Kundendaten leicht zugänglich rumliegen. Zwei Monate nach erster Benachrichtigung sind sie "leider mit anderen Projekten beschäftigt". Sind drei Monate ausreichend für #ResponsibleDisclosure bevor ich Kunden informiere, die ich persönlich kenne? 🤔

Die Berichte um Angriffsszenarien auf die #itsicherheit von #threema zeigen im Kern den besten Fall, den wir uns wünschen können:

1) Sicherheitsforschende mit genügend Ressourcen und Dank #opensource finden relevante #sicherheitslücken in einer relevanten #messengerapp
2)...führen einen #responsibledisclosure durch
3) ...lassen dem Hersteller Zeit zum Schließen der Lücken
4) ...und berichten beiderseits darüber.

Ja was will man denn mehr? 👌

#DigitalerVerbraucherschutz

Erkenntnis des Tages: Es geht doch nix über transparente Meldewege in der IT-Security.
https://uni-koeln.de/.well-known/security.txt
#cybersecurity #responsibledisclosure #infosec

Erkenntnis des Tages: Es geht doch nix über transparente Meldewege in der IT-Security.
https://uni-koeln.de/.well-known/security.txt
#cybersecurity #responsibledisclosure #infosec

I'm reading the EU #NIS2 and one idea I really like, is that each Member State shall establish a way to anonymously report vulnerabilities to a CSIRT (that will handle the communication and disclosure).

#ResponsibleDisclosure #CoordinatedVulnerabilityDisclosure