Daily Archives: 26. Mai 2009

Peinlich? oder warum keine Kontaktaufnahme?

Wie ich schon erwähnt habe, versende ich meine Hinweise immer mit einem Proof of Concept welcher bei mir gehostet ist. Nachdem die Lücken in einem Portal des Bundes geschlossen waren, habe ich die entsprechenden Dateien gelöscht, da sie ja nicht mehr benötigt wurden. Seit mehr als einer Woche versucht aber noch immer jemand vom BSI die Dateien von meinem Server zu laden.

Vielleicht war meine E-Mail an das BSI etwas frech, aber die BSIler haben nicht versucht mich zu kontaktieren, obwohl ich immer ganz offen meine Kontaktdaten angebe.

Sehr geehrte Damen und Herren,

ich weiß leider nicht an wen ich mich wenden könnte, daher bitte ich Sie diese E-Mail an den zuständigen Mitarbeiter weiterzuleiten.

Letzte Woche haben Sie sich um Lücken in dem Portal von xyz.de gekümmert. Meine E-Mail ging an 123.xyz.de, die die Informationen an Sie weitergeleitet haben.

> Die Lücke die ich Ihnen im März mitgeteilt habe,
> wurde zwar geschlossen, aber leider wurde mein
> Hinweis nicht zum Anlass genommen das ganze
> System auf Sicherheitslücken zu untersuchen.
>
> Hier einige weitere Beispiele:
> http://domain.tld/poc/xyz_de-1.html
> http://domain.tld/poc/xyz_de-2.html
> http://domain.tld/poc/xyz_de-3.html

Die entsprechenden Dateien habe ich, nachdem die Lücken geschlossen waren, gelöscht. Seit mehreren Tagen versucht jemand aus Ihrem Hause noch immer diese Dateien abzurufen. Im Anhang finden Sie eine ZIP mit den Dateien.

Ich hoffe Ihnen mit dieser Information weitergeholfen zu haben.

Mit freundlichen Grüßen
Michael Schwarz

PS: Ich möchte nicht frech erscheinen, aber es wundert mich doch schon, dass man nicht versucht, direkt mit mir Kontakt aufzunehmen.