Wie gehen Nutzer mit Sicherheitslücken in Websites um

[KCobain]

Moinsen,
mich würde es interessieren, wie so der normale User mit Sicherheitslücken auf Websites umgeht.
Hintergrund ist folgender: Ich habe Sicherheitslücken bei einigen Webshops und Herstellern gefunden, die Lücken sind mehr oder
weniger schwerwiegend (Bei manchen kann man die Datenbank auslesen, bei anderen "nur" Code auf den Rechnern von Nutzern ausführen, falls
dieser auf einen manipulierten Link klickt). Ich habe die Betreiber der Websites kontaktiert und erklärt, wie man die Lücken schließen könne -
wurde aber meistens einfach ignoriert. In den letzten Wochen habe ich gedroht, die Lücken zu veröffentlichen, wenn diese nicht innerhalb einer
Woche geschloßen werden bzw. man nicht innerhalb einer Woche zumindest eine Reaktion zeigt (also auf meine Mail antwortet) -
das hat schon etwas mehr gebracht, jedoch haben einige Webmaster die Lücken immernoch nicht geschloßen, obwohl sie teilweise schon
seit 5 Monaten bekannt sind und ich die Betreiber mehrmals auf die Lücken hingewiesen habe. Nun habe ich überlegt, die Lücken
einfach so zu veröffentlichen, um noch mehr Druck auf die Betreiber der betroffenen Websites auszuüben - doch frage ich mich,
ob das überhaupt was bringen würde.

Also meine Fragen an euch:
Würdet ihr Websites besuchen, von denen ihr wisst, dass sie Sicherheitslücken enthalten?
Wenn ja, warum?
Hättet ihr noch andere Ideen, wie man die Betreiber der entsprechenden Websites dazu bringen könnte,
die Lücken zu schließen?

Und falls jemand von euch selbst einen Online-Shop/Website betreibt - wie würdet ihr reagieren, wenn jemand
euch erzählt, es gäbe Lücken im System?

 

[Martman]

Ich würde mich damit an den Chaos Computer Club wenden. Die haben mehr Autorität als eine unbekannte Privatperson und mehr Erfahrung damit. Die sollen sich an den Webmaster wenden.

Wenn dann immer noch nichts passiert, wird die Website eben ein bißchen kompromittiert. Nichts Gefährliches, also keine mutwillige Datenzerstörung und kein Einschleusen von Malware, aber etwas ausgesprochen Lästiges. Gerade auch hier ist es besser, wenn es jemand aus dem Umfeld des CCC macht, als wenn es irgendeiner macht. Die wissen auch, wie sie mit faulen, uneinsichtigen Webmastern umgehen müssen, ohne gleich den Exploit an irgendwelche Black Hats oder Scriptkiddies weiterzugeben.


Martman

 

[KCobain]

Ich würde mich damit an den Chaos Computer Club wenden. Die haben mehr Autorität als eine unbekannte Privatperson und mehr Erfahrung damit. Die sollen sich an den Webmaster wenden.

Das die mehr ausrichten können als ich bezweifle ich, außerdem denke ich nicht, das sich da jemand findet der sich da die Zeit nimmt. Einige Lücken sind den Webmastern wie gesagt seit 5 Monaten bekannt, und werden trotzdem nicht gefixt - ich denke denen vom CCC fehlt die Motivation die Webmaster immer und immer wieder anzuschreiben etc.

Wenn dann immer noch nichts passiert, wird die Website eben ein bißchen kompromittiert. Nichts Gefährliches, also keine mutwillige Datenzerstörung und kein Einschleusen von Malware, aber etwas ausgesprochen Lästiges.

Da liegt ja leider das Problem - das was ich an Lücken gefunden habe kann dafür nicht benutz werden. Bei einigen Websites habe ich nur Lese-Zugriff auf die Datenbank(en) und bei anderen kann man Code auf dem PC eines Nutzers ausführen - aber das auch nur, wenn dieser auf einen von mir manipulierten Link klickt. Das heist, ich kann die Website nicht einfach so manipulieren. Ich könnte höchstens die Lücken veröffentlichen oder die Datenbanken veröffentlichen - und da weis ich nicht, ob das überhaupt Druck auf den Webmaster ausüben würde.

 

[Martman]

Die setzen also auf Security through Obscurity oder das, was sie glauben, daß das das ist - nämlich, daß nur DAUs bei ihnen kaufen.

Möglicherweise - ohne Gewähr - kommen die eher in die Puschen, wenn sie eine Mail vom CCC bekommen, die öffnen und feststellen, daß ein Auszug ihrer Datenbank drin ist, als wenn sie eine Mail von einem Unbekannten bekommen, in der nur steht, daß es Sicherheitslücken gibt.

Ich glaube aber, wenn die sich selbst dann nicht um die Datenbank kümmern, ist es ihnen auch scheißegal, wenn irgendein Black Hat kommt, sich ihre Nutzerdaten schnappt und an den nächstbesten russischen Botnetzbetreiber oder Kreditkartenbetrüger für ein Schweinegeld verkauft. Außer vielleicht, der Laden ist bekannt genug, die Sache kommt raus, wird von der Presse an die große Glocke gehängt, und ihnen laufen derart viele Kunden weg, daß ihnen jeglicher Gewinn komplett wegbricht.

Und selbst dann besteht immer noch die Chance, daß, was weiß ich, die sich seinerzeit einen Informatikstudenten per Praktikum geholt haben, der ihnen für wenig Geld das Datenbanksystem aufgesetzt hat, und jetzt gibt's in dem Laden niemanden mehr, der damit umgehen kann, das wollen die Webmaster aber nicht zugeben.


Martman

 

[klaatu]

Ich würde mich da an deiner Stelle an martmans Rat halten und den CCC kontaktieren, dort sind die Leute mit Ahnung davon, wie man so etwas angehen kann. Wenn du die Seite(n) selbst kompromittierst oder die Lücken veröffentlichst, kannst du in Teufels Küche kommen, wenn sie dich anzeigen, da wäre ich an deiner Stelle sehr vorsichtig.

Edit: Ich sehe grad in deinem ersten Beitrag, dass du schon gedroht hast, die Lücken zu veröffentlichen. Ich wäre da vorsichtig, das kann möglicherweise auch als Erpressung durchgehen.