[Musa95]

Anzeige

---

Angenommen Person X ist 15 Jahre alt, und findet in einem SHOP für Gewerbe Kunden wo er auch selber Kunde ist, zufällig eine Sicherheitslücke.

Diese meldet er sofort dem Techniker der Großfirma. Der Techniker ein humorvoller man, bittet ihn darum das ganze per TeamViewer zuzeigen.
Er erlaubt "x" nach mehreren lücken zusuchen. Er wird auch fündig, von Admin Passwort änderungen bis SQLi.
Die Chefetage bedankt sich bei ihm und lädt ihn zur Konferenz mit dem Programmierer ein. Er zeigt ihm alles.

Nun Person "X" könnte diese lücken böswillig ausnutzen und 5-6 Stellige beträge zu seinem gunsten klauen. Doch dies tat er nicht.

Person "X" findet einen anderen Shop, das exakt genau das selbe System hat. Ruft dort an ohne in das System eingedrungen zusein, und meldet eine Lücke der Firma. Die Firma bedankt sich, und erzählt das der Programmierer (aus xyz Land) kommt. (Der selbe von der 1. Firma)

Im Grundegenommen war die Lücke die der Firma genannt wurde für jeden zugänglich. Einige Tage später kommt ein Anruf von der 2. Firma. Die meinen zu Person "x" das es nett war das er die Lücke mitgeteilt hat, doch das was er getan hat ist Strafbar, und wir werden von unserem Recht gebrauch machen.

_______________-

So sachlage sieht so aus ( Person X) findet in einem Shop mehrere lücken. Nennt der 2. Firma bisjetzt nur eine. Die 2. Firma macht vllt. strafanzeige.

_______________

Was meint ihr? In grunde genommen wollte ich den beiden Firmen einen gefallen tun.

Sollte ich das nächste mal erstmal folgendes schreiben per Email:

Zitat:

Guten Tag,

ich bin spezifiziert auf das entdecken von Sicherheitslücken.
Wenn Sie Sicherheitsbeschwerden haben, dann können sie mich arrangieren.
Wer möchte denn nicht, dass das eigene System sicherer vor DDos, Hacking, Spamming attacken geschützt wird.

Wenn sie Interesse haben dann schreiben Sie zurück.

MfG

Person X

Wenn die das bejaen dann schick ich denen eine "Einwilligungs oder Einverständins" erklärung, das die mich arrangiert haben nach lücken zu suchen. Was ist nun richtig? Ich will also beim nächsten mal wenn ich was finde erstmal einen gültigen vertrag machen (wenn man das braucht) um mich abzusichern. Weil dann such ich bewusst und mit deren wissen nach lücken.

[Elradon]

---

Was genau ist deine Frage? Durch einfaches Melden einer Sicherheitslücke kann man sich wohl kaum starbar machen. Klar, es gibt Ausspähen von Daten - aber gerade das ist bei dem zweiten Shop ja nicht passiert. Dort hast du das Wissen ja nur daraus, dass du gesehen hast, dass es das gleiche Shopsystem war (offensithclich zu erkennen, oder woher weißt du das?)

Hast du dir schon einmal Gedanken darüber gemacht, was passiert, wenn dabei ausversehen etwas "kaputt geht". Ich denke, dass da eine große Haftungsproblematik hintersteht.

[whitehat]

---

Guten Tag,

Sicherheitslücken dürfen nur gesucht werden, wenn der Besitzer des Systems dies ausdrücklich erlaubt hat.

Facebook zum Beispiel erlaubt dies unter http://www.facebook.com/whitehat und zahlt anschließend sogar eine Belohnung.

Unter https://www.hatforce.com kannst du auch für gemeldete Sicherheitslücken Geld verdienen, und es wird ein richtiger Vertrag erstellt bevor du testen darfst.

Mfg