Ho ricevuto un'email a techsupport @ websitename .com (email piuttosto generica) che diceva che c'era un difetto di sicurezza nel mio sito web ecc. ecc.
La mia prima reazione fu che si trattava di una truffa. (Come / perché hanno trovato il nostro sito.)
Tuttavia, sembra che non stessero cercando denaro (finora) e lo hanno anche mandato via email da un account Gmail (che mi è sembrato fuori posto, lo spam è solitamente inviato da strani domini) - anche google lo ha contrassegnato come importante.
La scrittura complessiva non è chiaramente ben educata, ma non è così male come in genere.
Anche l'indirizzo email sembrava un indirizzo giocatore (un nome strano e qualche cifra)
Questa è l'email:
Hello,
I have found a Web Application Vulnerability [XSS] in 'websitename.com' which can lead an attacker to perform unauthenticated tasks like account takeovers and other malicious stuffs like web defacement (your site), port scanning through your servers to other servers on internet or may use your website to spread Ransomware, and this bug is needed to be fixed as fast as possible.
Being a responsible security researcher, I m sending this mail directly to you without making the bug public, so if you are concerned about your website's security and want detailed information and Proof-of-Concept of this bug, please contact me on my mail - email@gmail.com
Would be happy to know - do you provide any rewards (bug bounty) / swag as token of appreciation for reporting bugs ?
Thank you,
-(Foreign sounding) Name
Corsivo sono stati modificati per la privacy
Domanda:
Questa è una cosa tipica che i truffatori farebbero?
Se sì, cosa stanno cercando di ottenere, quali sarebbero (se ce ne sono) i rischi di rispondere all'email richiedendo ulteriori informazioni.
D'altra parte, se in effetti è un legittimo "ricercatore responsabile della sicurezza", che tipo di domande dovrei chiedere di scoprire.