Oggi ho sperimentato una situazione in cui una persona responsabile della sicurezza di un'azienda richiedeva a una società di pentesting di ritirare una clausola nel contratto che affermasse che:
"durante il pentest esiste la possibilità di cancellare o modificare i dati sensibili nell'ambiente di produzione involontariamente a causa dell'esecuzione di alcuni strumenti, exploit, tecniche, ecc."
Il cliente dice che non accetterà questa clausola e crede che nessuna società accetterebbe quella clausola. Pensa che durante una pentest informazione poteva essere raggiunta ma mai cancellata o modificata.
Sappiamo che l'esecuzione di alcuni strumenti come i web crawler o gli spider può cancellare i dati se l'applicazione web è programmata male, quindi la possibilità esiste sempre se quei tipi di strumenti saranno usati.
So che queste sono le condizioni del cliente e dovrebbero essere accettate, ma:
Un pentester esperto e professionale può sempre assicurare che nessun dato verrà eliminato o modificato durante la produzione durante un pentest?
Può davvero essere fatto un pentest se il team di pentest ha la limitazione che i dati non possono essere creati o modificati?
La società pentesting dovrebbe sempre includere la clausola di esclusione della responsabilità per ogni caso?