Die Reaktion von Unternehmen auf gemeldete Sicherheitslücken

So wünscht man sich die Kommunikation.

Nachdem ich auf einen Hinweis von Kollegen Marko Rogge, der seinerseits eine Sicherheitslücke in einer Android App entdeckte, eine iOS App auf Sicherheitslücken hin untersuchte fand ich auch prompt eine.

Dies meldete ich der Betroffenen Firma auch direkt per E-Mail mit dem Hinweis das ich am nächsten Tage einen Blog Post dazu veröffentlichen werde. Ein paar Stunden später kam mir die Idee doch noch ein paar Apps auf meinen iPhone5 genauer zu überprüfen und fand auch eine zweite App mit einem Sicherheitsproblem. Auch hier informierte ich das Unternehmen direkt mit dem Hinweis einen Blog Beitrag zu veröffentlichen.

Natürlich wies ich beide Firmen darauf hin das ich hier keinen Erpressungsversuch starte und kein Geld dafür verlangen werde und nur informieren und helfen möchte.

Heute (Freitag, 15.03.2013) erschien mein gestern verfasster Blog Beitrag automatisch zur voreingestellten Zeit um 12:00 Uhr mittags auf meinem Blog, in meinem Facebook Account und auf twitter.

Zwei Stunden später meldet sich das erste Unternehmen telefonisch bei mir. Es war kein Anwalt sondern ein verantwortlicher Projektkoordinator der sich mit mir über die weitere Vorgehensweise des Bug Fixing unterhielt und mich bat den veröffentlichten Beitrag bis zum Bug Fix/ Security Update doch bitte offline zustellen. Ich könnte den Beitrag nach Bereinigung der App gerne wieder online stellen.
Dieser Bitte kam ich selbstverständlich nach und ich freue mich das ein Unternehmen so reagiert und bin ebenso gespannt wann man sich wie versprochen wieder bei mir meldet und die Bereinigung der App meldet.

Das zweite Unternehmen meldete sich auch heute bei mir per Mail und man bat mich um ein Telefongespräch am kommenden Dienstag um die Sicherheitslücke zu besprechen. Auch hier verzichte ich erst einmal auf Veröffentlichung des Beitrag.

Beide Unternehmen haben aus meiner Sicht sehr gut und was am wichtigsten in solchen Fällen ist sehr prompt reagiert und sich bei mir gemeldet. So sollte das öfters sein.

Ich werde weiter berichten und euch auf Stand halten.

Flattr this!