Bei der Bahn hat man ein Problem: »Liebe Bahn, du hast eine Sicherheitslücke auf deiner Website. Damit kann man Kundendaten ausspähen und Accounts missbrauchen. Kannst du die Lücke mal bitte fixen? Oder ist sie dir so lange egal, bis wir hier auch noch veröffentlichen, wie man sie nutzt?« – bei solchen Unternehmen wie der Bahn glaube ich ja fast, dass die keinen einzigen Mitarbeiter im eigenen Haus haben, der die Software so gut versteht, dass er jetzt die XSS-Lücke beseitigen kann. Aber es ist mal wieder schön zu sehen, wie wenig es »bringt«, wenn man die von einer ernsthaften Sicherheitslücke in ihrem Webauftritt betroffenen Unternehmen mit einer freundlichen Mail direkt informiert, denn da passiert einfach gar nichts. Vermutlich wurde die ausgedruckte Mail mit der Rohrpost durch die Büroräume bewegt und liegt gerade bei jemanden herum, der sich überlegt, wer dafür zuständig ist.