security.txt: toch fijn als ze doorgeven dat er een digitaal raampje open staat

[Ben Avôt]

Ik  denk voor iedereen wel herkenbaar. Je bent op een verjaardag en plotseling word je op je schouder getikt, 'die zwarte auto is toch van jou?  Je hebt volgens mij je raampje open laten staan' Dit had zomaar een hele nare dag kunnen worden. Gelukkig zijn er mensen die het beste met je voor hebben.

 

Zo ook op digitaal ondernemersvlak. Hoe goed je de boel ook hebt dichtgetimmerd, er kan altijd iets over het hoofd gezien worden, iets fout gaan met een update of per ongelijk opengezet worden. 

 

Cybercriminelen maken daar gretig gebruik van. Gelukkig zijn er ook genoeg mensen je hiervoor kunnen waarschuwen. Faciliteer dit door een hele simpele stap. Een klein tekst bestandje (security.txt) op je website waar je aangeeft hoe mensen je kunnen bereiken om je digitaal op je schouders te tikken dat er een digitaal raampje open staat.

 

Voorkomen is in dit geval een stuk beter, maar zeker ook goedkoper dan genezen.

 

https://www.digitaltrustcenter.nl/securitytxt

 

Ondernemen doen we samen!

[Ward van der Put]

 

[MWormgoor]

Eerder dit jaar werd ik (als ondernemer) benaderd via LinkedIn door iemand in de UK, werkzaam bij een groot farmaceutisch bedrijf. Hij had interesse in samenwerking, en wilde graag een email sturen. Ik had (nog) geen verdenkingen, dus waarom niet. Na de email bleek al heel snel dat het om scam praktijken gaan. Echter, het LinkedIn account van deze medewerker was echt - en blijkbaar gehackt.

Ik wilde dit rapporteren, heb echt wel een paar uur besteed om de juiste contactgegevens te vinden, en uiteindelijk bij gebrek aan beter maar via LinkedIn een bericht aan de meest logische persoon bij het bedrijf gevonden. Daar heb ik pas een maand later reactie op gehad, het account was toen al lang verwijderd. Zo’n security.txt was toen echt heel handig geweest.

Aan de hand van dit bericht hier toch maar de moeite genomen een security.txt op mijn eigen website te zetten. Hij staat erop!

[Rik ·]

Ik heb toch gemengde gevoelens bij zo'n security.txt.

 

Je geeft toch gegevens uit handen (website, contactpersoon, email of telefoon) die je niet zomaar op bepaalde lijsten wilt hebben. Ik heb ook begrepen dat mensen veel spam en phishing mails krijgen op de mailadressen die ze in een security.txt gezet hebben.

 

Nu neem ik wel aan dat mensen die met security te maken hebben (en dus contactpersoon zijn) hier wel mee om kunnen gaan... maar toch...

 

Mijn advies als je de security.txt gebruikt... zorg voor een speciaal e-mailadres die je ook weer kunt verwijderen of regelmatig kunt veranderen. Zo'n emailadres is n.l. toch alleen maar nodig voor het moment van gebruik. Iemand zal dat adres n.l. direct gebruiken en niet een week laten liggen. Dus een regelmatig wisselend adres is dan geen probleem en wel zo handig als je op een gegeven moment 100 mailtjes per dag krijgt op dat adres.

 

Zien welke bekende sites zo'n security.txt hebben: https://findsecuritycontacts.com/

 

[Ward van der Put]

Op voorspelbare e-mailadressen zoals info@ ontvangt iedereen grote hoeveelheden spam. Als je daar daadwerkelijk last van hebt, zou ik eens laten kijken naar de mailserver of op zoek gaan naar een andere e-mailclient: de meest spam is prima automatisch te bestrijden.

[Rik ·]

Ja, maar met het bestrijden van spam ga je dus ook eventuele echt-lijkende security meldingen 'bestrijden'.

 

Zeker als je bijvoorbeeld veel Engelstalig meldingen en phishing mailtjes krijgt. Dan gaat zo'n melding op een gegeven moment ook gezien worden als spam. Want ze zijn moeilijk van echte meldingen te onderscheiden. (Zoek maar eens naar ervaringen hiermee op internet.)

 

Een adres als security342@domein.nl is dan wel zo handig.

Als je op een gegeven moment daar veel echt-lijkende meldingen krijgt (die uiteindelijk niets blijken te zijn) dan kun je makkelijk omschakelen. Niet nodig om daar info@ voor te gebruiken. Dat is nu nét het voordeel van de security.txt. Een info@ kan overigens iedereen wel vinden op je site, maar die ga je natuurlijk niet gebruiken voor security meldingen. Dat zou ik in ieder geval niet doen.

 

Quote

5.8. Spam and Spurious Reports

Similar to concerns in [RFC2142], denial-of-service attacks via spam reports would become easier once a "security.txt" file is published by an organization. In addition, there is an increased likelihood of reports being sent in an automated fashion and/or as a result of automated scans without human analysis. Attackers can also use this file as a way to spam unrelated third parties by listing their resources and/or contact information.

 

Organizations need to weigh the advantages of publishing this file versus the possible disadvantages and increased resources required to analyze security reports.

 

Security researchers should review all information within the "security.txt" file before submitting reports in an automated fashion or reports resulting from automated scans.

https://www.rfc-editor.org/rfc/rfc9116#name-spam-and-spurious-reports

4 oktober 2023 aangepast door Rik ·

[Cybercrimeinfo]

Het idee achter een security.txt bestand is inderdaad vergelijkbaar met iemand die je op je schouder tikt om te waarschuwen voor een openstaand raampje. De discussie over het al dan niet ontvangen van spam of phishing via het in de security.txt genoemde e-mailadres is begrijpelijk. Ik ben het ermee eens dat het instellen van een specifiek en eventueel tijdelijk e-mailadres voor dit doel een goede aanpak kan zijn. Het helpt in het efficiënt filteren van meldingen en vermindert de kans op misbruik. Voorkomen is altijd beter dan genezen.