Beveiligingsbedrijf ontdekt kwetsbaarheden bij Huawei, maar moet zwijgen (update)
Het Italiaanse Swascan heeft kwetsbaarheden in Huawei netwerk technologie ontdekt en gepubliceerd. Maar het mag van Huawei zelf geen details geven over waar ze zijn gevonden. Huawei nuanceert dat het om interne websites ging.
Swascan, een Italiaans cyberbeveiligingsbedrijf dat eerder al kwetsbaarheden bij Adobe Microsoft en Lenovo ontdekte, bracht onlangs enkele kritieke problemen van Huawei’s webtoepassingen en -servers aan het licht.
Volgens Swascan heeft het bedrijf een aantal kritieke problemen geïdentificeerd binnen de webtoepassingen van Huawei. Die kunnen bij misbruik de veiligheid van gebruikersgegevens maar ook de werking van diensten in het gedrang brengen.
Na deze ontdekking nam Swascan contact op met Huawei om hen te informeren over de gevonden kwetsbaarheden en om een samenwerking op te zetten om de gebreken op te lossen.
Geen details
Maar waar de kwetsbaarheden precies zijn gevonden is niet bekend. Swascan haalt drie kwetsbaarheden aan op haar site, CWE-119, CWE-125 en SWE-78, maar verduidelijkt niet in welke software of met welke apparatuur ze kunnen worden misbruikt. Volgens the Register mag Swascan van Huawei niet meer info vrijgeven dan wat momenteel in het persbericht staat.
Huawei zegt in een reactie aan Data News dat het enkel om interne systemen gaat en in geen geval om sites, software of systemen waar klanten of klantendata mee in contact kwamen.
Huawei is op zich niet verplicht om alle details vrij te geven over dergelijke beveiligingslekken. Zo zijn er wel meer bedrijven die dergelijke ontdekkingen stil houden. Maar Huawei probeert het laatste jaar net te benadrukken dat het een open en transparante organisatie is. Tegelijk ligt het bedrijf nog altijd onder vuur vanuit de VS over (onbewezen) spionageclaims. Ook dat kan meespelen in de beslissing om niet al te veel ruchtbaarheid te geven aan kwetsbaarheden in de software.
In samenwerking met Dutch IT-Channel.
Update 12 juli:
Huawei laat aan Data News weten dat de ontdekte kwetsbaarheden enkel voorkwamen op interne websites, zoals een website waarmee werknemers bedrijfsreizen boeken. Het gaat niet om publieke systemen of software en toestellen van klanten. Het artikel is aangepast om dit te verduidelijken.
Daarnaast benadrukt het bedrijf dat het Swascan nooit gevraagd heeft om te zwijgen over de ontdekking.
Fout opgemerkt of meer nieuws? Meld het hier