Only in German available.
Published on: Jan. 4, 2023
Author: Thomas Federer
Wir haben eine Firmen-Policy, dass wir die Betroffenen auf von uns gefundene Sicherheitslücken aufmerksam machen. Oft fällt es uns schwer, die richtige Kontaktperson bei einer Firma zu finden. Dabei gäbe es einen definierten Ort, wo man diese Kontaktinformationen hinterlegen kann: security.txt (Ein vorgeschlagener Standard, der es Betreiber von Webapplikationen ermöglicht, Sicherheitsrichtlinien zu definieren). Auch nur ein Hinweis im Impressum würde helfen.
Die Datei security.txt weisst ein definiertes Format auf und wird auf dem Webserver unter https://<domain>/.well-known/security.txt gespeichert. Im security.txt wird definiert wer und wie kontaktiert werden soll. Die Datei kann auch signiert werden, um ihre Echtheit zu bestätigen. Praktisch alle grossen Techfirmen benutzen diesen Mechanismus.
Mehr Informationen und ein security.txt Generator ist auf https://securitytxt.org zu finden.
Nehmen Sie die Sicherheitslücke ernst und prüfen Sie selber, ob Ihre Systeme wirklich davon betroffen sind. Leider gibt es sehr viele Werbemails, welche genau diese Strategie ausnutzen und "Sicherheitslücken" melden, welche gar keine sind. Nachdem sie die Meldung verifiziert haben, beheben Sie die Lücke so schnell wie möglich. Über einen Dank und eine kurze Bestätigung, dass die Lücke behoben wurde, wird sich der Reporter freuen. Denn dann wurde das Internet ein Stück sicherer gemacht.
Wenn Sie die Meldung nicht selber beurteilen können, klären Sie es mit einem Spezialisten ab.
Es ist schon bedenklich, dass wenn das NCSC per eingeschriebenen Briefen betroffene Firmen über schwerwiegende Lücken informiert und ein Grossteil auch nach Tagen nicht reagiert und die Lücke nicht schliesst.
Sie wurden kontaktiert, brauchen Sie Hilfe in der Einschätzung des Reports?
Folgende Blog-Beiträge könnten Sie interessieren:
A password with 8 characters with numbers, upper and lower case letters and symbols can be cracked in under one hour.
Source: Hive Systems
X
Sie wurden kontaktiert, brauchen Sie Hilfe in der Einschätzung des Reports?
Contact us without obligation:
Kathrin Müller is looking forward to hearing from you and will be happy to organize a meeting according to your needs.
nanio GmbH (Codepurple)
Moosweg 24
5606 Dintikon