Attentie: een Bug Report!

En dan een bericht dat je bijna wegklikt, vast – weer - spam! Maar, jammer dit bericht kun je niet negeren: het is een Bug Report. Ook dat nog, je weet dat er een procedure in gang gezet moet worden met de nodige follow ups en communicatie naar de melder. Nog belangrijker dan alle acties die er nog liggen!

In december ontvingen we bij CIO Platform Nederland  een bug report van Asif alias “Ultimate Haxor”, een hacker. Een compleet bericht over een kwetsbaarheid die hij had gevonden en waardoor onze website niet was beveiligd tegen clickjacking. In de e-mail had de voor ons onbekende “Ultimate Haxor” overzichtelijk een beschrijving en PoC opgenomen en ook twee oplossingen geboden om deze kwetsbaarheid het hoofd te bieden.

Geheel conform onze procedure hebben we een incident aangemaakt bij onze hosting provider om de melding te verifiëren en zo nodig op te lossen. De melding bleek te kloppen. Gelukkig konden zij het makkelijk fixen. Binnen 2 dagen konden we de melder bedanken en laten weten dat de bug was verholpen Deze kwam terug met de vraag wat de beloning was voor deze melding. Vanuit het CIO Platform Nederland is ons beleid om geen financiële incentives te bieden voor dergelijke Responsible Disclosure/Coordinated Vulnerabilitiy Disclosure meldingen. In plaats daarvan bieden we aan om onze ervaring te delen met onze leden en natuurlijk daarbij een woord van dank aan Asif “Ultimate Haxor”. Bij deze!

Ook vanuit het principe: Sharing is Caring dit bericht. En we zijn wel benieuwd naar jullie ervaringen. Hoe actueel is jullie Coordinated vulnerability disclosure beleid? Hoeveel meldingen krijg je binnen en voldoet het proces? Wat als een bug niet (snel) verholpen kan worden, hoe reageert de melder daarop? Hoe is de betrokkenheid van de melder en hoe verloopt de communicatie?

Binnen het bureau van het CIO Platform staan wij op scherp!