Responsible Disclosure und Full Disclosure

Wenn ein Hacker eine Schwachstelle in einer Anwendung oder einem Gerät findet, kann diese dem Betroffenen mitgeteilt werden. Manche Unternehmen haben dafür sogenannte Bug-Bounty-Programme. Darüber können Schwachstellen gemeldet werden. In der Regel gibt es dafür Belohnungen, meist finanzieller Art.
Eine Meldung an den Betroffenen ist eine Responsible Disclosure.
Die Schwachstelle wird also erstmal nicht veröffentlicht, sondern nur dem Betroffenen mitgeteilt. Dieser hat dann Zeit die Schwachstelle zu schließen bevor diese veröffentlicht wird. Google Project Zero ist ein großer Hacker-Dienst welcher Schwachstellen aktiv sucht und dann den Betroffenen als Responsible Disclosure meldet.
Bei einem Full Disclosure wird die Schwachstelle sofort veröffentlicht.
Dadurch muss der Betroffene sofort reagieren, da die Schwachstelle sofort ausgenutzt werden kann. Das setzt den Betroffenen unter enormen Zeitdruck.
Eine Übersicht über solche Full Disclosure Meldungen kann man sich auf seclist.org anschauen.
weitere Fachbeiträge …
- September 2022 (2)
- August 2022 (2)
- Juni 2022 (1)
- Mai 2022 (3)
- April 2022 (2)
- März 2022 (4)
- Februar 2022 (7)
- Januar 2022 (12)
- Dezember 2021 (8)
Informationssicherheit und Datenschutz – Beratung und Konzeption – Landsberg am Lech