I dag kom jeg meg innpå databasen til en ganske stor nettside i norge, alle her inne på forumet vet nok om siden. Men så lurer jeg på, burde jeg rapportere ifra om problemet? kan jeg få problemer om jeg sier i fra til dem som eier siden? Eller skal jeg bare la det være. ønsker ikke og si hvilken nettside det er snakk om siden jeg ønsker ikke at hvem som helst skal komme seg inn i databasen og gjøre noe dumt.

Du sier selvølfgelig fra at du oppdaget et sikkerhetshull, du får nok ikke mer problemer enn å finne ut hva du skal bruke gavekortet til.

ok, kan epost lister på flere hundre tusen (norkse) være vært mer en det gavekorte jeg kan få?

Jeg ville sagt fra anonymt.

Støtter den med å si fra anonymt. For alt du vet anmelder de deg for innbruddet... Før du tenker på å selge unna epost-lister og slikt bør du nok tenke deg veldig godt om. Slikt kan oppdages og muligens spores tilbake til den som henta ut dette...

Si ifra om problemet
Få penger
Legg ut linken her etterpå

Tja... kanskje du kan rapportere sikkerhetshullet i en epost, sendt fra anonyme http://tormail.org/ ?
Så skriver du at i frykt for å bli mistenkt for datainnbrudd, velger du å sende de informasjonen fra en anonym epost.

De kan fortsatt gi deg gavekort, via svar på eposten din, men de kan ikke anmelde deg.

Noen sikkerhets-freaks her som veit om en mail fra tormail kan spores?

Vet ikke, bruker DENNE selv hvis det er noe.

Ville sendt emailen anonymt via tormail.
Videre lurer jeg på om denne norske siden handler om trening? Isåfall vil jeg bare si at jeg meldte fra om sikkerhetshull hos denne siden for nesten et år siden, men ingenting har blitt gjort for å fikse opp i det.

Og melde fra om det anonymt skal ikke være noe problem. men nei har ikke noe med trening, har mer med underholdning og gjøre

Dette er et problem for personer som rapporterer om sikkerhetshull...
La oss si at det er et stort sikkerhetshull på en nettside, som flere rapporterer, men det blir aldri fikset.

Hvem tror du får skylden om en uærlig person finner sikkerhetshullet og bruker det for å sende spam elns. ?

Jo, det kan godt hende de som rapporterte om hullet blir siktet.

Man skulle hatt en egen etat elns. for å rapportere om sikkerhetshull i politiet. Så slipper man ivertfall å bli anmeldt i ettertid fordi noen andre fant samme hullet og brukte det for å gjøre faenskap.

Enten det, eller så vil ingen tørre å rapportere om hullene, og alle får masse spam ingen veit hvor kommer fra.

Etter å ha vært i "mottaker-enden" av slike innbrudd kan jeg love deg at det ikke skjer noe om sikkerhetshullet blir tipset om. Blir det derimot misbrukt blir det garantert anmeldt til Kripos. Og flere blir tatt Har vært tilfeller hvor norske firma har misbrukt e-post lister de har fått fra slike innbrudd, og de har dermed fått en klekkelig respons mot seg når det har blitt avslørt.

tl;tr: Ikke vært en idiot.

Turbolego: Norcert tar nok imot tips.

Ellers er min favoritt "hackere" som skryter av det på Twitter og andre kanaler. De tøffingene som DDOSet Norsk Tipping, A-pressen og noen andre tidligere i år, var ikke akkurat særlig vanskelige å finne navn og adresse på, i løpet av noen timer..

Sweet!

Så neste gang noen her på forumet finner et hull på en norsk nettside, sender man bare et tips til Norcert, eventuelt anonymt, så tar de det videre?

Eller burde man melde fra direkte til nettsiden om man håper på gavekort?

Eller begge deler?

Personlig bryr jeg meg ikke så mye om hvem som informerer om et sikkerhetshull, bare at jeg får vite om det, og kan fikse det *før* noen vil utnytte hullet. Ser ingen grunn til å kjefte på noen som har funnet et sikkerhetshull. Hvis jeg derimot avslører at noen har utnyttet et hull derimot, da skal du han god unskyldning.

Hva med å sende en mail å si ifra at du fant et større sikkerhetshull å vil gi dette fra deg til dem, men må ha bekreftelse at de ikke vil ta det videre til politi etc. ?
Ikke alle som gir ut belønning når de får tips om sikkerhetshull.

Tror ikke det er så mye å vinne på å være anonym, med mindre du brukte proxy/VPN da du fant hullet. Tipper de kan finne IP'en din i loggen, og om det blir noen sak av dette, så kan nettleverandøren din si hvem som bruker IP'en (deg).
Om du var beskyttet fra starten av, gjør du som du vil

Spør om du får belønning mot at du gir dem info om hullet, eller dump hele databasen og selg epostene til folk som sender spam Om de får vite at de har et hull, kan det dog hende at de sjekker loggen og finner hullet derfra, og sier til deg at du ikke får belønning.

Selg Emailene til spam firma? Kunne sikkert fått endel hvis det er sant som du sier at det er flere tusen Emailer.

Jeg vil anbefale deg, IKKE gjøre noe. I norge andmelder ALLE bedrifter folk som finner sikerhets hull.
Du får IKKE noe penger i norge for raporter feil, er du heldig får du en bot av purken.

Veldig mange IT admin(sjefer liker IKKE at noen kødder med system dems) disse blir sinna og for dekke sin egen rygg så andmelder dem saken. )

Hvis noen finner noe norsk firma over (50 ansatte) som betaler for feil funnet, så vil jeg at noe poster link til dem :-)

(Hvis du hacker cisco/facebook og flere så får penger, det gjelder IKKE i norge!!)

Nei, en liste med forskjellige e-postadresser er verdt svært lite, uten annen viktig informasjon som alder, interresseområder etc.

har fullt navn, epost, adresse, mobil nr osv

Kan vel si at du kom over den ved et uhell, og undersøkte for å kunne advare de.

har sendt dem en mail nå hvor jeg forklarte dem hva problemet gjikk ut på, men ikke hvor problemet lå. ser ingen grunn til og gi ut det uten og få noe tilbake

Det var ikke smart, nå gjelder og være litt smart.
1. Installer truecrypt og alle disker.
2. Rydde og kast ALT av gammle disker/cd/dvd'er du ikke bruker.
3. Start bruke litt proxy'er.
4. så bare vente og ikke gjøre noe.

På mandag/tirsdag så vil vil dem andmelde deg, så skal purken etterforske saken(ca 3-8 uker, spørs hvilken purke distrikt du hører til),på den tiden så henter dem inn alt av ip'er og dato og navn.
så etter 2-4mnd skal du til avhør hos purken, der purken håper du tilstår alt og dem kan skrive ut en bot på 10k og være ferdig med saken.

Snakk om og være optimist.

Men sett at trådstarter blir anmeldt fordi han tipset om dette hullet, hva har de av beviser?
En ip adresse?

Er vel bare å nekte blankt på å ha noe med saken å gjøre, siden en ip-adresse ikke beviser at det var trådstarter sin maskin som brukte den?

Eller må trådstarter formatere disken osv. for å være på den sikre siden?

Hvis dem har hjemme ip'en hans er han fuckt, i værste fall så kommer dem hjem og beslaglegger ALT av pc utstyr på addressen. Så blir det avhør(purken er og flinke til og "holde deg i 12timer" så dem kan dra til deg og beslaglegg.
Men det spørs hva som du sier/ikke sier, i avhøret.

Om ikke politiet finner noe på maskinene, og han nekter for å ha noe med saken å gjøre...

Kan han bli dømt på en ip-adresse alene?

Her i norge har vi jo en passe lang tradisjon på å dømme folk for drap, på indisier. Så det er vel ikke helt usannsynlig. Om det hadde vært en alvorlig nok sak, som politiet mente det var verdt å bruke ressurser på, så ville de jo også kunne få ut ipadresssen hans fra forumet.

Denne tråden er aktuell ift spørsmålet ditt.

Hva er alternativet til å si fra? Tenkte du på sabotasje? Hvis du ikke er en irriterende liten umoden skiddie så varsler du selvsagt admin om problemet.

NB: snakk med Advokat før du gjør noen ting, HAN kan sende email/si fra, ja det koster tråd starter penger men eneste måten og være 100% siker.

yup, støttes av en jussproffessor: Dont Talk to Police

Turbolego, helt rett! Trådstarter du MÅ se video.
http://www.dagbladet.no/nyheter/2007/09/15/512195.html <- veldig likt den saken her.....

Alle som sier at du skal si fra, har normalt aldri gjordt det før, eller dem "trur" at itadmins blir glade.
itadmins blir ikke glade, dem får mer jobb , sjefen dems blir sinna, hovedsjefen blir sina og krever handling(som gjør at dem ringer purken og da ruller ballen).

ALT skal gå mellom advokat!
Anbefaler deg og skafe deg en avis/blad som vil se kansje skrive sak ut at det, bare som press middel hvis du skal ungå andmeldse, siden fleste ikke like PR at dem har blitt hacket.

ISPer sletter informasjon om hvem som har en IP-adresse senest 21 dager etter den sist var brukt av kunde, så datakrim-saker blir behandlet kjapt om de skal få tatt vedkommende.

Vel, for min del høres det ut som varslere i dag spiller russisk rulett, hvor de enten kan få gavekort som takk eller politiannmeldelse (og 10.000 i bot).

Om jeg finner et problem i framtiden, kommer jeg til å holde kjeft om det.
Risikoen er tydligvis for stor.

Jeg har enda til gode for å høre om noen som har blitt anmeldt for å sende -tips- om sikkerhetshull, noen som faktisk har kilder som viser noe annet? Tele2-saken er ikke aktuell da sikkerhetshullet ble misbrukt.

Og ja, jeg er og sysadmin for et større norsk nettsted.

Problemet er vel at tråd starter har lasted ned databasen alt, og da endrer plutselig ting seg veldig. siden går fra "mulig feil" til ja det er stor feil og ting har blitt hentet ut.

NB: av persjonlig erfaring så blir du mistenklig gjordt med enn gang, hvis du raporter feil/hull, er at ca 50% av er purke mat, mens ca 25% er "takk", siste 25% er ikke noe svar.

Skrive gjærne liste på firma(norske) som betaler for finne feil/hull.

Press de for penger. Er nettsiden kjent i media, så tru de med å gå til media. VG er nokså glad i slike artikler på nettavisen sin har jeg sett.

Da gjer du brått noko ulovleg.

nå er problemet det at nettsiden det er snakk om er media

Teoretisk sett, om du detter innom en side på dagbladet som det ikke skal være mulig for deg å dette innom, og du melder fra, og vedkommende du melder fra til blir sur istedenfor glad for info'n...

Kan ikke rivalen VG lage en sak om dette da?

Btw. paddus, snakket med en venninde.
Hu sier at du er beskyttet mot søksmål/avstraffelse/represalier pga. din rolle som "Varsler":

Arbeidstilsynet - Varsling om kritikkverdige forhold på arbeidsplassen

Noen juss-freaks som kan verifisere dette?

Hvis du har flere datamaskiner i huset vil jeg råde deg til å se om en kompis eller familie kan ta vare på den nå den nærmeste tiden. Ikke bare sett vekk selve pcen, antar at du har stasjonær. Ta med alt av skjermer og liknende hvis du ikke har noen annen pc som kan ta plassen til den du har idag.Hvis du har lastet ned noe vil de ikke finne pcen som det er lastet ned noe på, da vil det bli vanskelig å finne noen form for bevis siden de ikke finner kilden.
Lykke til,! Håper ikke du får problemer =)

Gir ikkje tittelen 'Varsling om kritikkverdige forhold på arbeidsplassen' greit svar? Nei, det gjeld kun i eit arbeidsforhold.

Tror du virkelig at media kommer til å gå fram med nettsted og nevnt sikkerhetshull?

så man er ikke beskyttet som "varsler" med mindre man er ansatt?

Arbeidsmiljøloven gjelder kun for ansatte eller folk som jobber midlertidig.
Varsling paragrafene handler mer om varsling ved uærlige hendelser og liknende som f eks hvis firmaet ditt overfakturerer med hensikt å tjene mer.

Fått noe svar?