Pregunta:
Vulnerabilidad de seguridad encontrada, ¿qué debo hacer?
noob
2012-04-14 22:17:40 UTC
view on stackexchange narkive permalink

Posible duplicado:
¿Cómo revelar una vulnerabilidad de seguridad de manera ética?
Informar sobre sitios vulnerables

He encontrado una vulnerabilidad de seguridad que me permite transferir dinero a mi cuenta.

¿Qué debo hacer ahora? ¿Me paga la empresa donde encontré el error? ¿Debo informarles de ese error antes de que me digan cuánto me pagan por ese error o después?

¿Debo escribir al Atención al cliente o al Ventas dirección de correo de ellos? ¿Y qué debo decirles de todos modos?

¿Puedo compartir la existencia de ese error sin proporcionar detalles?

El problema es que soy menor de edad por lo que no sé nada de todo esto y también tengo miedo de que no me crean por mi edad.

Lo que terminé haciendo: les envié un correo con el error y no le dije a ningún adulto sobre esto en ese momento. Arreglaron el error bastante rápido y me dieron una pequeña recompensa por valor de alrededor de $ 200 en ese momento.

Lo que haría hoy: Ahora que ya no soy menor de edad ( ohh mi me he vuelto viejo). Me pondría en contacto con ellos a través de una empresa de pruebas de penetración o algo similar y les preguntaría si estarían interesados ​​en que verificamos su sistema. Diciéndoles que no tendrían que pagar nada si no encontráramos nada y revelamos el error a través de eso. Si se niegan, por lo general no lo hacen si se hace bien, me pondré en contacto con ellos de forma anónima y les revelaré el error.

Recomendaría mirar http://security.stackexchange.com/q/807/618 y http://security.stackexchange.com/q/52/33
Supongo que en la mayoría de los países sería una muy mala idea explotar un error de este tipo o amenazar con hacerlo. Por supuesto, puede haber empresas en las que pueda obtener una "tarifa de consultoría" en tales circunstancias y parece que también hay un mercado negro para este tipo de información, pero como con cualquier mercado negro, personalmente me mantendría alejado de eso; la mayoría de la gente consideraría simplemente enviar una descripción (complementaria) al departamento de TI como lo moralmente correcto, y si no lo arreglan en medio año, enviar la descripción en bugtraq.
Golpeé el pomo de la puerta y encontré que la puerta estaba abierta. ¿Debo entrar y tomar el objeto valioso que vi cuando la puerta se abrió un poco y notificar a mis amigos que encontré una puerta sin llave? ¿O cerraré la puerta si es posible y notificaré al propietario? Dilemas morales en una situación de aprobado / reprobado.
One responder:
D.W.
2012-04-14 23:26:33 UTC
view on stackexchange narkive permalink

Es poco probable que pueda ganar dinero legalmente con este error. Si está considerando algún plan para ganar mucho dinero con él: aléjese, tómese un tiempo libre. Existe un riesgo significativo de ser procesado por piratería informática o por extorsión si intenta exigir una compensación por informar de la vulnerabilidad.

Tenga en cuenta que en los EE. UU., La piratería es ilegal. La ley es extremadamente amplia y prohíbe todo tipo de cosas que muchas personas tal vez no se den cuenta de que son ilegales. No sé cómo descubrió el error, pero me preocupa que exista un alto riesgo de que las acciones que ha realizado hasta ahora (por ejemplo, para descubrir el error) sean ilegales. Si sus acciones al descubrir el error violaron la ley, incluso posiblemente, y si enoja a la empresa o en general actúa como un idiota (p. Ej., Exigiendo una compensación), es posible que llame a un fiscal federal y convencer al fiscal de que lo acuse por violar la ley federal. Realmente no quiere estar en esa posición.

En general, es raro que las empresas compensen a las personas que les informan sobre errores de seguridad. Algunas empresas (por ejemplo, Google) tienen programas de "recompensas por errores", en los que prometen pagar unos cientos o miles de dólares a las personas que les informan sobre errores graves en el marco de su programa. Pero la mayoría de las empresas no hacen nada de eso.

En términos generales, este es mi consejo:

  • ¿Alguna vez ha pirateado o intentado piratear este ¿sitio? ¿Intentó algo que pudiera caracterizarse como acceso no autorizado o un intento de atacar el sitio? (por ejemplo, escribiendo una comilla simple para ver si es vulnerable a la inyección SQL, enviando < para ver si es vulnerable a XSS, etc.) Si es así, deténgase aquí. No les revele usted mismo la vulnerabilidad. Abandona cualquier pensamiento de ganar dinero. Si desea hacer lo moralmente correcto, puede comunicarse con un adulto de su confianza y pedirle que informe la vulnerabilidad en su nombre sin revelar su identidad, pero no espere ningún pago.

  • Si está seguro de que nunca ha hecho nada que pudiera caracterizarse como un intento de obtener acceso no autorizado o atacar el sitio de alguna otra manera, y está seguro de que nada de lo que haya hecho pueda ser tratado como una violación de las (por ejemplo, CFAA), entonces podría considerar cómo informar la vulnerabilidad al sitio, si lo desea. Pero no espere ganar dinero con esto. No exijas compensación. No amenaces. No pida una compensación como condición para revelar el error. No espere compensación. Si lo está haciendo con la esperanza de ganar dinero, deténgase: déjelo a un lado, porque no quiere que lo acusen de extorsión y tiene mucho más que perder que ganar.

    Si Si desea revelar la vulnerabilidad, trataría de encontrar a alguien de su confianza que haya trabajado en un contexto empresarial profesional durante muchos años. Pídales que le ayuden a revelar la vulnerabilidad. Pídales que le ayuden a escribir una carta o correo electrónico que describa la vulnerabilidad. (Revelaría la vulnerabilidad por escrito, por ejemplo, un correo electrónico, una carta escrita, no por teléfono o en persona). Además, antes de hacer algo de esto, pídales que lean este hilo y los siguientes hilos en este sitio:

    La razón por la que sugiero que alguien más le ayude a revelar esto es porque existe una gran oportunidad de malentendidos. Usted quiere que alguien que haya trabajado en el negocio lo ayude a redactar la carta, para asegurarse de que se la tome en serio y para asegurarse de que la empresa no lo trate como una amenaza y comience a perseguirlo con amenazas de una demanda o enjuiciamiento. Las grandes empresas tienen departamentos legales completos llenos de abogados que existen únicamente para proteger los intereses financieros de la empresa. Si lo perciben como una amenaza, pueden usar todos los recursos legales que tengan para tratar de evitar que avergüence a la empresa. Alguien con más experiencia en un contexto empresarial puede ayudarlo a protegerse.

Pero la conclusión es: verifique sus motivos. La única razón para informar la vulnerabilidad a la empresa es porque "es lo correcto" y por el bien de los demás. No es probable que ganes dinero con esto, temo decir esto. Si descubre que está haciendo esto con el propósito de ganar dinero, deténgase; ve a hacer otra cosa. Si está haciendo esto con el propósito de ganar dinero, los riesgos son demasiado altos y se verá afectado por una demanda, un proceso penal o cualquier otra cosa que no solo le impida ganar dinero, sino que también le haga la vida un infierno. Ha habido demasiados casos en los que los investigadores de seguridad fueron procesados ​​por "piratería", cuando solo intentaban informar o publicitar una vulnerabilidad de seguridad (ni siquiera tratar de explotarla para obtener ganancias financieras).

PD Aquí está el resumen informal, que no debe tomarse demasiado en serio, de Dan Kaminsky sobre cómo tienden a funcionar las cosas hoy en día:

White Hat Hacker Flowchart, from Dan Kaminsky

@micha - OK. Entiendo; lo siento, no tenía mejores noticias para ti.
Sí, agregar legalmente es perfecto y, por cierto, esa imagen es increíble.
Esa es una respuesta muy sensata. El hecho de que _pueda_ robar algo no significa que esté _ permitido_ robarlo, incluso si es tentador. Pero Micha, hay muchas posibilidades de que puedas encontrar un trabajo de tu agrado y eso vale mucho.


Esta pregunta y respuesta fue traducida automáticamente del idioma inglés.El contenido original está disponible en stackexchange, a quien agradecemos la licencia cc by-sa 3.0 bajo la que se distribuye.
Loading...