77
you are viewing a single comment's thread
view the rest of the comments
view the rest of the comments
this post was submitted on 18 Jan 2024
77 points (100.0% liked)
de_EDV
3805 readers
1 users here now
Ableger von r/de_EDV auf Lemmy.
News, Diskussionen und Hilfestellung zu Hard- und Software
Diese Community dient als Anlaufstelle für alle IT-Interessierten, egal ob Profi oder blutiger Anfänger. Stellt eure Fragen und tauscht euch aus!
Weitere IT Communitys:
!informationstechnik@feddit.de
founded 1 year ago
MODERATORS
Deswegen informiert man Betriebe in Deutschland durch ein einfaches drop database via VPN ueber ihre Sicherheitsprobleme.
In der beschriebenen Situation ist davon auszugehen dass die Daten auch von anderen abgegriffen wurden die den Betreiber nicht informiert haben - solange er das nicht ausschliessen kann (was jemand der so ein Problem hat eher nicht koennen wird) bin ich der Meinung dass die Datenschutzbehoerden informiert werden sollten, auch wenn die Formulierung in der DSVGO das nicht direkt so hergibt. Es ist im heutigen Internet einfach unrealistisch anzunehmen dass es da keinen Zugriff gab - und ich hoffe dass die Rechtsprechung in den naechsten Jahren auch in die Richtung gehen wird.
Welche Optionen hat man aktuell denn laut der Rechtslage (sofern es kein BugBlunty-Programm o.ä. gibt)? Ich mein... ich hab schon Sicherheitslücken gefunden und gemeldet, ohne explizit danach gesucht zu haben...
Mich würde nicht wundern, wenn 2 und 4 in Zukunft zunehmen...
Ich persoenlich hab inzwischen die Schnauze voll (aktuell ist glaub ich noch eine Anzeige gegen mich offen) - ich mach in Zukunft nur noch direktes full disclosure. Falls es danach aussieht als ob persoenliche Daten betroffen sind, und ich die Moeglichkeit habe die zu loeschen wuerde ich selbiges (natuerlich nicht zu mir verfolgbar) vor disclosure tun.
Meine (wenngleich harmlos verlaufenen) Highlights bislang - für nix davon war ein Hacking-Tool nötig
Suchbegriff' UNION SELECT * FROM TabelleGibtsNicht;--
gesucht und... ups... Fehlermeldung, dass die Tabelle nicht existiert...