Belgian CVD is deeply broken
10 months ago
- #Vulnerability Disclosure
- #Cybersecurity
- #Belgium
- 作者发现KBC网银门户存在漏洞,仅需简单操作即可绕过登录验证
- 尝试向KBC银行及比利时网络安全中心(CCB)进行负责任披露,却遭遇法律威胁与漏洞否认
- 批评比利时漏洞协调披露(CVD)机制已失效,法律程序障碍正在扼杀漏洞报告者的积极性
- CCB与KBC错误处理漏洞报告,过度关注形式流程而忽视实际安全问题
- 漏洞根源在于KBC浏览器会话与其itsme认证应用间的绑定机制存在设计缺陷
- 尽管itsme应用具备注册凭证验证(PoPR)缓解机制,但KBC的实施方案缺失该安全层
- 作者指出系统性弊端:将报告者视为罪犯、缺乏公开披露机制、报告者权利严重不对等
- 建议包括立法保护漏洞报告者、允许适度公开披露、提升CCB专业能力以改善协作