Wenn Kommilitonen mit schweren Straftatvorwürfen drohen

 (miles.land)
2 Punkte von GN⁺ 2023-08-29 | 1 Kommentare | Auf WhatsApp teilen
  • Der Autor berichtet von einer Erfahrung, bei der er wegen gut gemeinter Sicherheitsforschung durch Mitstudierende rechtlich bedroht wurde
  • Der Autor und befreundete, an Sicherheit interessierte Personen entdeckten Schwachstellen in einer anonymen Social-Media-App namens Fizz
  • Sie meldeten Fizz die Schwachstellen verantwortungsvoll, doch statt das Problem zu beheben, schickte Fizz Drohungen und verlangte Stillschweigen
  • Der Autor bat die Electronic Frontier Foundation (EFF) um rechtliche Hilfe und entwarf eine Reaktion auf die Drohungen von Fizz
  • Die Situation wurde schließlich einvernehmlich gelöst, und Fizz legte das Problem am Ende gegenüber den Nutzern offen
  • Rückblickend teilt der Autor drei zentrale Lehren aus der Erfahrung, darunter Sicherheitsforschung rechtmäßig und gut dokumentiert durchzuführen sowie bei rechtlichen Drohungen ruhig zu bleiben und sich von Anwälten unterstützen zu lassen
  • Abschließend übergibt der Autor die Geschichte an andere Vortragende, die Erfahrungen aus anderen Aspekten des Prozesses der Offenlegung von Schwachstellen teilen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-08-29
Hacker-News-Meinungen
  • Ein Anwalt des EFF könnte in seinen Aussagen zu angeblichen CFAA-Verstößen übertrieben haben.
  • Die Forschenden haben möglicherweise gegen das Gesetz verstoßen, indem sie ohne Erlaubnis Admin-Konten erstellt haben.
  • Aufgrund ihrer guten Absichten und des Ausbleibens erheblicher Schäden ist es unwahrscheinlich, dass die Forschenden mit rechtlichen Konsequenzen rechnen müssen.
  • Die Anwälte von Fizz haben einen Fehler gemacht, indem sie mit Strafverfolgung drohten, und dabei Regeln verletzt, die besondere Sorgfalt erfordern.
  • Der Artikel spiegelt einen wohlwollenderen Wandel gegenüber Sicherheitsforschenden wider und zeigt positive Veränderungen beim heutigen Umgang mit Offenlegung.
  • Der Artikel der Stanford Daily legt das Ausmaß von Fizz’ Datenschutzverletzungen und das Fehlen von Sicherheitsmaßnahmen offen.
  • Ashton Cofer und Teddy Solomon von Fizz reagierten nur schwach auf die Situation und lehnten weitere Stellungnahmen ab.
  • Es läuft eine Diskussion über die Folgen rechtlicher Drohungen und die Notwendigkeit von Verantwortlichkeit.
  • Der Wert, bei der Offenlegung von Sicherheitsinformationen einen Stichtag festzulegen, wird infrage gestellt.
  • Es gibt Kritik an der Tendenz von Sicherheitsforschenden, Schwachstellen für persönliches Branding zu nutzen.
  • Die Herausforderung durch rechtliche Schikanen und die Notwendigkeit proaktiver Mechanismen wurden angesprochen.
  • Der Artikel wird dafür gelobt, auf Fizz’ Versagen beim Schutz von Nutzerdaten hingewiesen zu haben.