ich moechte mir mal wieder etwas von der Seele schreiben und eure Meinungen dazu einfangen.
Also vor ein paar Wochen bemerkte ich auf einer Webseite eines Weltkonzerns eine Sicherheitsluecke. Die Luecke ist jetzt nicht geeignet den Server zu uebernehmen, aber man kann Daten einsehen die nur sichtbar sein sollten wenn man angemeldet ist und ich empfinde das schon als Problem. Ich habe jetzt nicht versucht ob ich vielleicht ab einer bestimmten Anzahl von Anfragen geblockt werde oder es andere Schutzmechanismen gibt die ein Auslesen aller Daten verhindern wuerden, ich bin aber definitiv in der Lage einzelne Datensaetze zu sehen.
Ich wandte mich daraufhin an die Securityabteilung an die mich laut deren Webseite wenden sollte und beschrieb die Schritte per Mail. Auch einen Screenshot habe ich beigefuegt der zeigte das ich einen einzelnen Datensatz ohne Anmeldung sehen konnte. Es passierte dann erst einmal eine Woche nichts und dann kam die erste Mail die zusammengefasst werden kann als:
Ich fragte dann ob die beabsichtigte Funktionsweise ist das ich ohne Anmeldung Daten einsehen.SecurityMensch1 hat geschrieben:Hi cronoik, ich habe deine Mail nicht gelesen aber bei uns funktioniert alles wie es soll. Hast du versucht den PC aus- und wieder anzuschalten?
Meine Antwort war dann sie dann wohl etwas zutun haben, wie man ja am Screenshot sieht. 8 Stunden spaeter erhielt ich dann eine weitere Mail:SecurityMensch1 hat geschrieben:Nein das ist nicht beabsichtigt.
Ich habe mir dann noch einmal die Muehe gemacht und die Schritte ganz klar aufgeschrieben und mit ein paar unfreundlichen Worten abgesandt.SecurityMensch2 hat geschrieben:Wir koennen das nicht reproduzieren. Schau doch mal ob das Problem bei dir liegt. Viel Glueck.
Jetzt habe ich mir ueberlegt ob ich nicht einfach einen kleinen Exploit schreibe welches die Daten auslesen koennte und dies dann irgendwo oeffentlich mache (selber werde ich das nicht ausfuehren).
Allerdings, frage ich mich was ich hier eigentlich mache. Die Mails schreiben, mich darueber aergern, Exploit schreiben, dass sind alles Dinge fuer die ich nicht bezahlt werde (um es mal so auszudruecken). Wenn die offensichtlich keine Lust haben, dann ist das doch nicht mein Problem.
Was haltet ihr davon?