Взлом инфраструктуры lst.de, обеспечивающей работу списка рассылки vendor-sec, наглядно демонстрирует ущербность практики скрытого устранения уязвимостей. Список рассылки vendor-sec был недоступен для посторонних и использовался рядом крупных производителей открытого программного обеспечения для обсуждения еще не обнародованных уязвимостей за закрытыми дверями, без информирования общественности о новых проблемах. Как оказалось сервер рассылки был взломан еще в январе и все это время злоумышленники осуществляли мониторинг обсуждений в рассылке. Таким образом как минимум уже несколько месяцев на основе публикуемых в рассылке сообщений злоумышленники имели возможность оперативно создавать «0-day» эксплоиты, поражающие критические уязвимости, о существовании которых никто не догадывался.

После того как администраторы vendor-sec обнаружили факт взлома и опубликовали предупреждение для своих коллег, злоумышленники второй раз взломали сервер и устроили акт вандализма, выразившийся в уничтожении данных на сервере. По признанию администратора взломанного списка рассылки по компьютерной безопасности, программное обеспечение на сервере давно не обновлялось и содержало ряд известных уязвимостей, устранить которые у владельцев ресурса не доходили руки.

Инцидент дал повод задуматься над целесообразностью поддержания закрытой рассылки vendor-sec. По мнению администратора рассылки, в настоящее время закрытые обсуждения уже не так эффективны в плане оперативного выпуска патчей, как было 5-10 лет назад, поэтому вероятно рассылка будет закрыта или реструктуризирована. Представитель компании Red Hat согласился с доводом, что последнее время разработчики программ напрямую уведомляют людей, отвечающих за безопасность дистрибутивов, или публикуют информацию в публичных рассылках. В 2008 году из 69 обсуждаемых в vendor-sec уязвимостей о 32 (46%) уже было публично известно, в 2009 году это соотношение выглядело как 57/17 (30%), а в 2010 — 29/22 (76%).

Из других комментариев можно отметить предложение разбить рассылку на несколько тематических групп (Linux, BSD, экспертная оценка и т.п.), в каждой из которых обрабатывать только узкий круг проблем. При этом в закрытую рассылку предлагается отправлять данные об уязвимостях только средней степени опасности (отправка сообщения в рассылку производится свободно, но прочитать сообщения может только узкий круг лиц). Незначительные проблемы рекомендуется анонсировать в публичной рассылку, а уведомления об обнаружении критических проблем нужно отправлять каждому вендору напрямую (для этого можно сформировать список контактов). В качестве периода неразглашения, отведенного на подготовку исправления, рекомендуется принять две недели.