Om de online veiligheid te verbeteren zijn wij groot voorstander van een zo geheten “coordinated vulnerability disclosure beleid“. Dat betekent dat hackers en beveiligingsonderzoekers onze website aan de tand mogen voelen zonder dat wij juridische stappen tegen ze ondernemen. Voorwaarde is wel dat de bevindingen aan ons gemeld worden en we de tijd krijgen om het op te lossen. Pas als het is opgelost mag het gevonden lek gepubliceerd worden. Dit publiceren is een belangrijk onderdeel, dat voorkomt dat andere mensen precies dezelfde fout maken. En om ervoor te zorgen dat security onderzoekers dit beleid altijd goed kunnen vinden, gebruik je een security.txt (meeste hackers scripten liever dan dat ze zoeken in de contact- of about-pagina of de footer etc.)
Onlangs hadden wij een eerste coordinated vulnerability disclosure melding, terwijl we toch dachten qua security alles goed op orde te hebben (wat met alleen een eenvoudige website ook niet zo heel ingewikkeld is) Een ethische hacker wist ons te melden dat via de restapi de usernames en omschrijvingen van de website account houders beschikbaar waren. Nu staan die ook boven de blogs posts dus wat ons betreft een minor issue, maar wel iets om op te lossen. Dat was gelukkig ook eenvoudig, met de WordPress pluginn https://nl.wordpress.org/plugins/disable-json-api/ is deze API zo gedicht.
Dan nog even de acknowledgements bijwerken en over tot de orde van de dag. https://eerlijkdigitaalonderwijs.nl/.well-known/security_acknowledgements.txt
Conclusies:
- Een Coordinated vulnerability disclosure beleid werkt!
- Beveiligingsgaten worden gevonden, de vraag is alleen wie het hoort: Je hebt liever dat beveiligingsproblemen bij jouw gemeld worden dan dat mensen erover zwijgen of andere creatieve doelen voor vinden.
Je vraag je af waarom nog lang niet alle scholen en onderwijs instellingen dit hebben?