SPooFd
Samenvatting
Het is een publiek geheim dat het beveiligen van e-mail veel uitdagingen met zich meebrengt. We hebben een kwetsbaarheid gevonden die aanwezig is bij veel e-mailproviders, waardoor we e-mail kunnen spoofen namens veel organisaties. In plaats van ons te richten op de zoveelste kwetsbaarheid in e-mail, stellen we een andere vraag: hoe reageren organisaties op de onthulling van zo'n beveiligingsprobleem in het wild? We richten ons specifiek op organisaties uit de publieke sector en de sector voor kritieke infrastructuur die wettelijk verplicht zijn om op dergelijke meldingen te reageren. We ontdekken dat veel organisaties moeilijk te bereiken zijn als het om beveiligingsproblemen gaat, zelfs als ze een contactpunt voor beveiliging hebben. Daarnaast laten onze bevindingen zien dat het hebben van beleid het reactie- en oplossingspercentage verbetert, maar dat zelfs met beleid de helft van onze meldingen na 90 dagen onbeantwoord en onopgelost blijft. Op basis van deze bevindingen doen we aanbevelingen aan organisaties en instanties zoals ENISA om toekomstige gecoördineerde processen voor het openbaar maken van kwetsbaarheden te verbeteren.