Sicherheitslücke melden?

[theone]

Ahoi,
ich habe auf einer relativ großen Seite (round about 7000 Besucher täglich) eine Sicherheitslücke entdeckt, welche es ermöglich sämtliche Passwörter auszulesen.
Nun frage ich mich, ob ich diese Lücke dem Betreiber melden soll? Eigentlich bin ich ein sehr moralischer Mensch, aber da ich testweise auf die Daten zugegriffen habe, um sicher zu gehen, das die Lücke tatsächlich funktioniert, bin ich jetzt am überlegen, ob ich es noch melden soll.
Leider habe ich bei diesem Testzugriff keinen Proxy verwendet. Aber irgendwie bezweifele ich auch, das der Betreiber fähig ist, da die Lücke schon seit 2007 bekannt ist.
Würdet ihr diese Lücke an meiner Stelle melden, oder nicht?
Würde es Konsequenzen für mich geben, wenn er mich anzeigen würde, obwohl ich nichts von den Daten gespeichert/gecrackt habe?

[cracker555]

Solang Du da kein Schaden gemacht hast, sondern nur die Lücke entdeckt und ausprobiert hast, wird Dir nichts passieren. Kannst also ruhig melden...

[theone]

Auch wenn ich direkten Zugriff auf alle Nutzerdaten hatte?

[abcgirl]

Doch eigentich ist es verboten da du sogennante "Hacker tools" benutzt hast die in deutschland generell verboten sind. Da dies verboten ist könntest du dafür belangt werden (muss nicht). Also ich würde die Lücke nicht ausnutzen da du ja schon zugriff ohne proxy hattest und er dich dann anzeigen könnte also lieber melden "es könnte ja auch ein anderer der die Lücke findet sie ausnutzen mit proxy und dann wäreste du ganz schön genatz weil du zuvor zugriff hattest" auch wenn es so scheint das der besitzer kein ahnung hat vill auch nur keine zeit? Naja deine entscheidung

M.f.G.

abcgirl

[theone]

Ist ein Browser ohne irgendwelche Zusätze (außer brain.exe) schon ein "Hacker tool"?

[noctem]

Ob mit oder ohne Tool: Das überprüfen von Netzwerken und Anwendungen ist nicht legal, wenn man nicht Besitzer ist oder dieser einen beauftragt.
Sprich er könnte was machen aber wieso sollte er, wenn du schon so nett bist und ihn darauf hinweist.

[abcgirl]

Okay du hast ja nicht genau erwähnt wie du es gemacht hast also werden sie dich nicht wegen illegalem besitzes und benutzung eines Hacker tools anzeigen oder jegliches aber der angriff ist auch nicht legal soviel kann ich sagen nur kenn ich unser Strafgesetzbuch nicht auswendig nur das die Cdu das alles verbieten lassen hat. Wenn du nichts veränderst und ihn drauf hinweißt wird er dich wohl schon nicht anzeigen, kannst ja ne fake email addresse machen. Kannst ja noch in den theader reinschreiben was du jetzt vorhast.

Edit: da war ich wohl etwas zuspät

M.f.G.

abcgirl

[theone]

OK - Ich denke ich werde mir einen einigermaßen seriös klingenden Text einfallen lassen und die Lücke melden. Mal sehen was dann kommt.
//Edit

Hallo XXX,
vielen Dank für den wertvollen Hinweis.
Die Lücke war mir unbekannt.
Die Komponente wird natürlich schnellstens entfernt.


Danke und Gruß
XXX