Je zou denken security teams binnen grote bedrijven haat het als onderzoekers en de pers wijzen op kwetsbaarheden, maar dat is niet altijd het geval.
Security-teams slechts één stem onder de vele, en vaak hebben ze moeite met het overtuigen van bazen die de veiligheid en privacy moet een prioriteit worden. Een gênant verhaal in de pers kan dat veranderen snel.
Bijvoorbeeld: Security-onderzoeker Troy Hunt eenmaal riep Betfair voor de Beveiliging van een systeem dat iedereen toegestaan die wist dat een gebruiker de verjaardag van hun wachtwoord wijzigen. Een maand later Hunt kwam een medewerker van dat bedrijf, waarin hij schreef over op zijn persoonlijke blog:
…een kerel kwam omhoog en gaf me zijn kaartje – “Betfair Veiligheid”. Ah shit. Maar de aarzeling snel voorbij als hij ging om me te bedanken voor de dekking. Zie je, ze wist dat dit proces gezogen—de eventuele redelijke persoon met de helft van een idee over de beveiliging deed—maar de interne security team alleen te vertellen management dit was niet cool was niet genoeg om te rijden op wijzigen. De negatieve media-aandacht, echter, is iets management daadwerkelijk luistert.
We weten allemaal hoe moeilijk het kan zijn voor kleine teams aan de druk van hun agenda in grote bedrijven, dus er is een bepaalde logica hier. Maar ik wens bedrijven zou luisteren naar de interne security teams, en buiten onderzoekers, voordat de problemen gaan massaal publiek. Het is meestal een communicatiestoornis binnen bedrijven, maar de vaststelling van deze verdeling kan voorkomen dat een veel slechte pers—en houden ons al meer veilig.
Image credit: Virgiliu Obada/Shutterstock.com