24 Antworten in diesem Thema

[Mr_NiceGuy]

Ich wollte euch mal fragen wie ihr mit größeren Firmen umgeht.

Also ihr entdeckt eine Sicherheitslücke bei einer größeren Firma, was macht ihr damit?

 

Verkaufen, ignorieren oder mit den Beteiligten reden?

 

Wenn ihr mit den Beteiligten redet, wie geht ihr vor?

[len0]

Servus

 

 

Ich würde zunächst das ganze per Email melden.

Genau drauf eingehen und das Problem schildern...eventuell ein Fix anbieten oder lösungvorschläge...

Je nachdem wie die „betroffenen†œ reagieren...insofern du überhaupt eine Antwort bekommst.

Falls du fragen haben solltest wird dir mit Sicherheit auch hier weiter geholfen:

 

Please Login HERE or Register HERE to see this link!

[Mr_NiceGuy]

Servus

 

 

Ich würde zunächst das ganze per Email melden.

Genau drauf eingehen und das Problem schildern...eventuell ein Fix anbieten oder lösungvorschläge...

Je nachdem wie die „betroffenen†œ reagieren...insofern du überhaupt eine Antwort bekommst.

Falls du fragen haben solltest wird dir mit Sicherheit auch hier weiter geholfen:

 

Please Login HERE or Register HERE to see this link!

Also ich melde generell Lücken über eine anonyme E-Mail, ich habe immer ein wenig angst, wie die Beteiligten reagieren.

 

Was machst du denn wenn die Beteiligten nicht reagieren und auch keine Änderungen vornehmen?

[smc2014]

Du brauchst gar keine Angst haben, wegen die Reaktion des Beteiligten.

 

Du hilfst Ihn ja also soll er Dankbar sein !!!

[len0]

Du brauchst gar keine Angst haben, wegen die Reaktion des Beteiligten.

 

Du hilfst Ihn ja also soll er Dankbar sein !!!

 

Naja es gibt auch "Unternehmen" die sind alles andere als Dankbar

 

 

 

Was machst du denn wenn die Beteiligten nicht reagieren und auch keine Änderungen vornehmen?

Ehrlich? Ignorieren...

Teilweise sind die Lücken dann auch mehrere Jahre vorhanden.

Wer nicht will, der hat schon...

 

 

Lg.

[PaulaAbdul]

Ich würde das ganze erstmal über eine anonyme E-Mail Adresse (natürlich trotzdem mit VPN o.Ä.) melden. Wenn Sie nicht reagieren geb die Info weiter an die Presse. Die meisten Journalisten nehmen solche Hinweise liebend gern entgegen. Von persönlichem Kontakt etc. rate ich dringend ab. Es wäre nicht das erste mal, dass so etwas eine saftige Anzeige nach sich zieht und auch wenn du es nicht böse gemeint hast, wird das den Richter kaum interessieren.

 

mfg

[mdwd]

Die meiste Firmen geiern nach kostenlosen Lösungen oder allgemein nach den Schwachstellen.

Geld kannste zum größten teil knicken wenn du es falsch angehst, IT-Sicherheit wird oft noch viel zu sehr unterschätzt.

 

generell gilded, sobald du einen versuch startest selbst bei nur ner admin panel user admin pw admin eingibst ist es schon ein versuch und du machst dich strafbar nach 202c. leider.

 

tipp, verkauf die Schwachstelle an ein IT-Sicherheitsunternehmen.

[frechdax]

Wie der Rest schon sagte, per Mail.

Jedoch muss man das ganze sehr gut verpacken das es nicht aussieht wie ne fake mail.

 

Ich war damals so krass drauf das ich anonym anrief und den leuten das teilweise gesagt habe.

Kann ich dir nur von Abraten, ich hatte mal ne sehr sehr große Firma wo ne SQLi möglich war.

Nach 5 min. am Telefon meinten die leute echt, ich solle ne Mail schicken sie geben das weiter oO

Wiederrum gab es Mail´s die sehr freundlich waren, und wo ich sogar Geld für bekommen habe.

 

Zu der sache mit dem "Schreiben sie mal ne Mail"

 

Die Website wurde 3 Monate später gehackt und ging später in die Insolvenz.

Ob es nun an den Hack lag oder nicht, aber es zeigt das jeder anders drauf Reagiert.

 

Wie hast du dich nun entschieden?

[vital]

Ich würde das ganze erstmal über eine anonyme E-Mail Adresse (natürlich trotzdem mit VPN o.Ä.) melden. Wenn Sie nicht reagieren geb die Info weiter an die Presse. Die meisten Journalisten nehmen solche Hinweise liebend gern entgegen. Von persönlichem Kontakt etc. rate ich dringend ab. Es wäre nicht das erste mal, dass so etwas eine saftige Anzeige nach sich zieht und auch wenn du es nicht böse gemeint hast, wird das den Richter kaum interessieren.

 

mfg

Naja das halte ich aber für ein Gerücht, da keine Straftat begangen worden ist. wenn du bei deinem Nachbarn klingelst, und dem sagst das er vergessen hat sein Auto ab zu schließen, kann dich auch keiner anzeigen wegen versuchtem Diebstahl.

 

Erst wenn dir eine Straftat nach gewiesen werden kann kann man dich packen, da zählt das analysieren und aufspüren von Lücken nicht dazu.

[teekoppe]

Vorposter: Das ist bullshit!

Alleine eine Parametermanipulation die mit dem Hintergrund durchgeführt wird Daten zu erspähen, ist eine Straftat und fällt unter dem Hackerparagraphen

Bearbeitet von teekoppe, 04 August 2015 - 04:04 Uhr.

[frechdax]

Vorposter: Das ist bullshit!

Alleine eine Parametermanipulation die mit dem Hintergrund durchgeführt wird Daten zu erspähen, ist eine Straftat und fällt unter dem Hackerparagraphen

 

Danke das wenigstens einer Ahnung hier hat.

Scann ne Website mit deiner IP ab, hab glück das die nen guten Administrator haben und schon bekommst du Post...

[Emalik Xantier]

Ja das stimmt Ein Beispiel wäre Adrian Lamo welcher in "Die Kunst des Einbruchs" erwähnt wird und unter anderem bei NY Times einbrechen konnte. Er wurde von denen angezeigt, obwohl er Sie als erste über das Leck informierte. Dasselbe machte auch Microsoft mit ihm (auch Lamo).

 

Hab auch mal gelesen dass ein Junge in GB wegen 7 Sekunden DDOS (Loic) verhaftet wurde, obwohl er nur irgend son anonymous fan war. Dazu kommt dass der Richter etc. keine Ahnung davon hat und das ganze eher schlecht, bis gar nicht, einschätzen kann (was auch oft erwähnt wird in Mitnicks Büchern).

[B1nary]

Naja das halte ich aber für ein Gerücht, da keine Straftat begangen worden ist. wenn du bei deinem Nachbarn klingelst, und dem sagst das er vergessen hat sein Auto ab zu schließen, kann dich auch keiner anzeigen wegen versuchtem Diebstahl.

 

Erst wenn dir eine Straftat nach gewiesen werden kann kann man dich packen, da zählt das analysieren und aufspüren von Lücken nicht dazu.

 

Es ist eine Straftat, weil du unaufgefordert in das System eingedrungen bist! Dein Vergleich mit dem Auto hinkt. Es würde eher zutreffend, wenn du in das Auto einsteigst und ne Runde fährst (als Test, ob es auch wirklich nicht abgeschlossen war und auch funktioniert) und dann dem Nachbar Bescheid gibst.

 

Wenn du von außen ohne konkrete Einwirkung auf das System (Parameter testen, etc.) erkennen würdest, dass eine Sicherheitslücke existiert, könnte man dir nichts anhaben. Dann würde der Vergleich mit dem Auto wieder passen. Aber das funktioniert wohl nicht im Bereich (Web-) Pentesting, außer du bist Hellseher^^

[frechdax]

Ich glaube hiermit kann die Frage wer recht und unrecht hat beseitigt werden.

 

§ 303a
Datenveränderung

Please Login HERE or Register HERE to see this link!

 

 

§ 202a
Ausspähen von Daten

Please Login HERE or Register HERE to see this link!

 

 

§ 303b
Computersabotage

Please Login HERE or Register HERE to see this link!

[Emalik Xantier]

§ 303a > (2) Der Versuch ist strafbar.

 

Parameter testen sehe ich als Versuch.

[System1000]

Ich würd ein wenig was an der Website hinterlassen.

Irgendeinen Hinweis den jeder Besucher der Seite sieht.

Dann bekommen die es am schnellsten mit.

[mdwd]

Setz nen Cookie mit "this site is not secure hehe"

[MrTecc]

Auch wenn der Thread schon älter ist - solche Vulns melde ich eigentlich immer an einen der diversen "Vulnerability Broker" (ZDI oder iDefense), natürlich über eine extra für diese Zwecke angelegte Domain / E-Mail-Adresse.

Manchmal hört man nix mehr von denen, aber wenn Du einen guten Bericht mitlieferst, proof of concept halt, dann springt manchmal sogar was dabei raus.

[Backdoored]

/dev/0

Bearbeitet von Backdoored, 09 February 2017 - 15:16 Uhr.

[myman]

lol, wtf

gesetze sind selbst hier fehl am platz, oder du trollst

allein der bloße "versuch" is strafbar. wegen dem billigsten shit kannst angezeigt werden. (sollte scenler eig eh 0 jucken, oder bin ich aufm falschen board?)

 

Seriöse Mail hinschicken mit auffallenden betreff: nich wie der letzte spasti schreiben, kurz und knapp halten und das so rüberbringen das du ahnung davon hast - mit nem kleinen touch arroganz.
text auf englisch kommt meist besser und deeper an, egal in welchem land die firma steht.

vlt noch kleinen proof zeigen das du die owned und in der hand hast.

 

kommt drauf an was du für ne moral hast. ob es dich n scheiß juckt was mit denen passiert oder ob du der "soziale-pussy-hacker" bist und du nur bicchen geld willst für nen fix.

 

abschicken. ca 3 Tage warten und gucken. zahlen dir die cash fürn fix, fixte die vuln und freust dich, ohne irgendwen zu schädigen)
ignorieren die dich (zeigt für mich kein respekt) drohen. gelesen werden die die mail in ca 3 tagen sicherlich.

 

Dann mach auf größten hurensohn und erpress die dir zu zahlen sonst kommen rote zahlen und insolvenz haha

 

Beim 2. weg machste aufjeden mehr profit anstatt sich lächerlich zu machen und ignoriert zu werden.  geht bei sowas garnich man haha

 

um zeit zu sparen packste alles in 1 mail und wenn die dich dann ignorieren (ziemlich retarded) vertickst die sqli für guten preis oder scheißt aufs cash und leakst alles.

 

bisschen brain benutzen und SE skills haben^^

 

ka warum die poster hier über mir über gesetze und vpn labern, sprich überhaupt sich mit hacking befassen und dann auf "legalen-sozialen-hacker" machen - was eh 0 sinn ergibt weil allein der sqli attack strafbar is.

 

 die poster über mir sind wohl besser hier aufgehoben:

Please Login HERE or Register HERE to see this link!

 

allein das in einem solchen thread noch hingewiesen wird das vpn gut wäre - denkste dir so wo bin ich'n hier gelandet

 

ohje ohje. alle die hier SQLi können und auf legalen machen was eh das behindertste is was möglich is hier, sollte man wie die ripper in die /dev/0 section packen

 

mit skilled SE sogar mal ne !!!!!!->layer7<-!!!!!! attack erpressung durchbekommen

 

Hacking =! Moral

 

bitte acc bannen wenn das hier nich tolleriert wird aufm board. dann hat cnw sogar mehr skill

 

Um Gottes Willen schreibst du eine Scheiße ! Räts anderen leuten nicht wie der letzte Mensch zu schreiben und ich hab den Eimer neben mir halbvoll gebrochen nach deinem Post. Deine Definition von Hackern kommt eigentlich Fraudlern gleich. Du bist hier auf einem Non-Fraud Board. Also denke ich bist du hier eher falsch. CNW ist nach aktueller Auffassung der bessere Ort für dich.

 

Schau dir die Leute auf der CCC an. Das sind Hacker, die kommen aber im Leben nicht auf die Idee mit Ihrem Wissen geld zu machen. Der Thread Starter ist glaube ich auch nicht auf Erpressung aus gewesen. Gewissermaßen steckt man ja auch in das Aufsprüren von Lücke seine Freizeit und es wäre dann nur Fair, auch für eine gravierende Lücke honoriert zu werden.

 

Nur meine 2 Cent.