Het hoofd security van Uber hangt strafvervolging boven het hoofd voor de manier waarop hij een datalek wilde verstoppen, las ik bij Ars Technica. Dat deed hij namelijk door de hackers een ton in bitcoins te geven en ze een bug bounty contract met geheimhoudingscontract (NDA) te laten tekenen, waarna hij in het openbaar verwees naar het lek als een “geplande securitytest”. En dat is dan net nadat ik twee bedrijven (zakelijk) heb moeten overtuigen dat je ethical hackers géén NDA moet voorleggen als ze je ongevraagd een potentieel datalek komen melden.
In 2016 liet Uber een fors datalek gebeuren, met kort daarna nog eentje. (Ik vind “was hit by a data breach” geen gepaste tekst, het is geen meteoor maar nalatigheid, kom nou.) Bij die laatste wilden de hackers een ton aan losgeld, anders zouden ze de data op internet zetten. “Information is extremely sensitive and we need to keep this tightly controlled,” zo besloot men intern. Toenmalig Uber security chief Joe Sullivan handelde ook daarnaar: hij onderhandelde met de hackers en liet ze een bug bounty contract tekenen, in ruil voor een ton die in bitcoin werd betaald.
Dat was in zoverre onhandig dat de FTC na dat eerste datalek een onderzoek had ingesteld en van plan was Uber met een schikking weg te laten komen. Toen dat tweede datalek een jaar later alsnog uitkwam, kwam daar natuurlijk weinig meer van terecht.
Nu kan het natuurlijk gebeuren dat iemand een datalek ontdekt en dat meldt, om aanspraak te maken op de financiële beloning – bug bounties – die een bedrijf uitlooft. Ook Uber doet dat: tot tienduizend dollar kun je verdienen met je tip over een datalek. Maar daar is een aparte website en procedure voor, en je krijgt het geld dan ook gewoon overgemaakt. Deze manier van afhandelen riekt dan dus ook niet naar een gewone bountyclaim.
Het blijkt echter wel staande praktijk om tipgevers aan een dikke geheimhouding te binden, en ik vind dat dus raar. Ja, als je iemand inhuurt dan kun je voorwaarden onderhandelen en geheimhouding is dan een prima onderhandelpunt. Maar wanneer iemand van buitenaf komt aanwaaien, dan moet dat zeker geen voorwaarde zijn. (Een tijdelijke, redelijke periode zodat je het lek kunt dichten is natuurlijk wél prima.) Het schrikt mensen af, ondanks dat het niet bindend is, en het laatste wat je zou moeten willen als organisatie is dat een tipgever liever de pers belt dan jouw organisatie.
Arnoud
Ik begrijp nog niet helemaal waarom dit een slecht idee is. Voorop gesteld: ik zou het zelf niet snel doen. Maar waarom het echt een slecht idee is, is me nog niet helemaal duidelijk geworden. De FTC heeft neem ik aan afgezien van een schikking omdat er nog een tweede lek was, niet omdat er voor de eerste een NDA was? Of gaat mijn gedachte daar juist mis?
Ik kan er nog wel inkomen als iemand het meld en er verder niks voor terug wil. Dan zijn de bragging-rights blijkbaar de beloning. Maar dan heb je het eerder over Responsible Disclosure dan een Bugbounty programma. Als je iets meld onder een Bugbounty ga je dan niet gewoon een overeenkomst aan? Je levert een dienst en krijgt er iets voor terug (Bugbounty). Maar ook hier kan het goed zijn dat ik de juridisch status van een Bugbounty programma verkeerd inschat.
Overigens heb ik in mijn “vorige leven” genoeg meldingen gedaan en zette er vrijwel altijd standaard bij dat ik er niks voor terug hoefde en er ook niet mee naar de pers zou gaan. Ethiek is een lastig ding en wellicht ook geen onderwerp voor een juridische blog maar ik worstel er soms nog wel mee als ik zie wat er in de media komt of ik dat nog wel ethical hacking vind. Wat wel komisch was, dat ik op een gegeven moment op het werk kwam en iemand zei: “heb je gezien dat ze tv programma XYZ gehackt hebben? Het zou maar 2 dagen open gestaan hebben, hoe weten die hackers dat zo snel te vinden?”. En dat je dan zelf weet dat je alleen al een week bent bezig geweest om in contact te komen.
Als ik het goed lees is er voor de tweede een NDA gekomen, zodat ze die onder de pet konden houden. Als je daar als FTC achter komt ga je niet meer schikken natuurlijk, wie weet wat er nog meer achter gehouden wordt.
Het probleem is dat zo’n platform dan vaak ook de enige manier is om bugs te melden en je op een andere manier geen contact met het securityteam krijgt. En het contract word nogal eenzijdig opgedrongen, het is slikken of stikken.
Daarnaast zijn er ook hackers die graag over de bugs schrijven die ze vinden, en als je dat verbied in je contract dan heb je een hele groep mensen die – wanneer ze je hacken – er geen bugmelding van maken maar een blogpost.
Zo las ik laatst nog een verhaal (~wat ik niet meer terug kan vinden uiteraard..~ gevonden ) waar de hackers de bug niet via het ‘normale’ process wilden laten weten omdat ze dan een nda moesten tekenen. En waar het bedrijf dan stiekum de bug fixte terwijl ze tegen de hackers zeiden dat het geen issue was in de laatste client.
Je hebt altijd nog de optie om de gevonden bug publiek te maken en daarmee de leverancier in te lichten. Ok, je krijgt dan niet je bug-bounty maar wel de erkenning van je peers.
Een bug bounty is bedoeld om mensen te motiveren om bugs te melden bij de dienstverlener of software leverancier. Het probeert een alternatief te zijn voor het verkopen van een bug op een darkweb waar voor sommige typen bugs veel geld betaald wordt. Een NDA werkt per definitie tegengesteld aan de doelstelling van zo’n bug bounty programma. Zo’n NDA is dus dom en af te raden.
Ik zie die tegenstelling niet. Je verkoopt de bug exclusief, publiek of voor krijgt er een bugbounty voor. Alleen in het geval van publieke verkoop/aan “iedereen” zie ik een probleem met een NDA, maar dan in de uitvoerbaarheid. Ik heb één keer een NDA moeten tekenen op een beurs. Volgens mij was dat meer de afdeling marketing die dat bedacht had dan de juridische afdeling.
Ik zie nog wel waarom een NDA maatschappelijk ongewenst kan zijn. Immers door een NDA kan de fabrikant er voor kiezen het onder de pet te houden en daarmee andere klanten in een kwetsbare positie te laten. Met alle gevolgen van dien. Maar dat onder de pet houden is wat mij betreft een heel ander gegeven dan een NDA. Een NDA maakt dat makkelijker maar je kan niet zeggen (deed je ook niet) dat een NDA betekend dat het dan altijd onder de pet blijft.
Voor de duidelijkheid; ik beargumenteer niet dat ik een NDA wel zinvol vind. Ik blijf oprecht met de vraag zitten waarom dit juridisch (het is een juridische blog) onwenselijk is. Waarom ik het zelf ook geen goed idee vind is geen juridisch argument. Ik geloof er sterk in dat kennis gedeeld moet worden maar dat is niet meer dan een persoonlijke overtuiging.
Ik geloof overigens sowieso niet dat het soort hackers die hun bugs op het Darkweb aanbieden nu in eens legaal omdat er een bugbounty is.
De oplossing voor kwaadwilligen is dus eerst de bug op de zwarte markt verpatsen, en dan de bug bounty ook nog een keer binnen hengelen, en als je er zo over denkt, dan is een NDA ook maar een stukje papier zolang ze je niet te pakken krijgen.