w1ntermute and splitiii
Zusammenfassung: In diesem Talk, würde berichten wir aus unseren Erlebnissen, die wir hatten mehreren Dutzend Firmen über gefundene Credentials von ihnen zu berichten.
Beschreibung: Über mehrere Monate verteilt, haben wir Dockerhub nach Credentials gescannt, mit einem eigenen kleinen Tool. Verantwortungsbewusst, wie wir sind, haben wir diese Firmen angeschrieben und ein Responsible Disclosure Prozess angestoßen. Dass sich dabei nicht jede Firma zurückgemeldet hat, kann man sich denken. Wir werden uns ein paar Statistiken auswerten und natürlich erklären, wie es dazu kommen kann, dass immer noch oft Credentials in Dockerhub und auch woanders landen. Zusätzlich zeigen wir unsere Herangehensweise bei der Kommunikation. Und mit welchen einfachen Mitteln Firmen diesen Prozess deutlich beschleunigen können.