Vengo dal Canada e mi piacerebbe sapere una cosa. Conosco un bug su un sito web. Non sono sicuro che sia legale qui cercare i bug su un sito web e NON usarli; invece, riferiscigli la sua compagnia.
È legale dirgli del bug, fornendo loro una descrizione dettagliata del bug e il modo in cui ti sei imbattuto.
Ciò che è imprevedibile è la reazione dell'azienda. Potrebbe variare a qualcosa come ad esempio mandarti una ricompensa / piccolo regalo (mi è successo), a loro cercare di perseguitarti come un criminale (eliminarli in modo anonimo potrebbe aiutare con questo problema). Se il bug compromette il sito Web e le sue informazioni, chiarisci che non hai usato il bug in questo modo.
Se hai la conoscenza, prova a dare suggerimenti su come correggere il bug, per rendere ancora più chiaro alla compagnia che stai cercando di aiutarli (qualcosa che ho fatto anche io).
Nota importante: se l'azienda rifiuta di riconoscere la vulnerabilità, fai in modo che non cerchi come sfruttarlo e attirare l'attenzione. Ciò probabilmente causerà un'azione legale contro voi .
In Canada sembra che tu sia al sicuro ... per ora . Ovunque, dipende da "bug di ricerca" che si intende per trovare exploit sul sito di qualcuno che potrebbero violare i loro termini e condizioni di utilizzo per il sito Web (ad esempio, test di penetrazione).
Ci sono un paio di modi in cui questo potrebbe accadere, a seconda della reazione della persona che riceve l'e-mail, di come è stato formulato il messaggio e ha dichiarato la procedura per riprodurre il problema.
Esempio tipico di cortesia legale:
Dear Sirs,
Through normal browsing I found an exploit on your website that may compromise your server. I work in the IT industry and noticed that this page
http://www.somesite.com/somepageis causing<list exploit here>which could compromise the integrity of the site. I enjoy using your site and thought I would bring this to your attention.Best Regards,
-ArtDesire
I seguenti potrebbero non essere interpretati come legali:
A volte la presentazione è tutto e mentre le persone possono avere le migliori intenzioni, testare gli exploit o riconfermare un exploit potrebbe essere preso nel modo sbagliato. Questo in genere non è un buon esempio legale perché sta permettendo agli amministratori del server di sapere che i loro Termini di servizio sono stati almeno violati dalla persona che ha inviato la notifica:
Yo Dudes,
I was totally trying out this new script I found online and saw that somebody could totally pwn your server be following this link
<link here>. You might want to check it out. I only tested it a couple of times.Good Luck,
-ArtDesire
Testare attivamente gli exploit sul sito di qualcun altro è decisamente illegale in alcuni comuni. I server gestiscono i log di accesso, quindi se è successo qualcosa di discutibile, e quindi gli amministratori sono stati avvisati, potrebbe lanciare loro un flag quando tornano attraverso i log. Quindi possono usare qualsiasi informazione nell'e-mail (comprese le intestazioni) e qualsiasi cosa a cui hanno accesso direttamente per provare a rintracciare cosa è successo. Il monitoraggio dei cookie sul computer client può essere utilizzato come prova in un'indagine.
Una volta avviata un'inchiesta, le azioni dipendono dalle leggi in merito alla posizione del server (controllo fisico), alle leggi del paese in cui risiede il server, al manutentore del server (chi è responsabile per il contenuto del server in alcuni paesi) e le politiche di estradizione basate sul fatto che sia stato dichiarato colpevole fino a prova contraria o viceversa.
Se viene rilevato un errore (ad esempio il codice che si riversa nella pagina), non è normalmente illegale far sapere a qualcuno.
La maggior parte dei siti in cui ho cercato di informare qualcuno su un exploit di solito finiscono con una risposta predefinita, qualcosa del tipo:
"We use the best programmers in the world and you don't know what you're talking about. If there was an issue we're sure the programmers know about it and are working on it."
o diranno:
"The issue you've found is likely an issue with your computer. We can't guarantee that everyone will have the same browsing experience."
Ricorda che "Nessuna buona azione rimane impunita." Le leggi sull'hacking stanno diventando più rigide e l'interpretazione di tali leggi spesso cade nelle mani dei non informati. Per essere al sicuro, ricordo sempre di documentare tutto.
Molti siti Web hanno una dichiarazione di non responsabilità che vieta di condurre qualsiasi test di sicurezza sul loro sito web.
Pertanto, se vuoi davvero farlo, ti suggerisco di segnalare il bug in modo anonimo e, come gli altri hanno detto, assicurati di menzionare che hai fatto solo questo per aiutarli.
Mi piacciono alcune delle risposte qui, ma ho pensato di menzionare un'altra possibilità: divulgazione tramite un rappresentante legale . Non sto dicendo che questo potrebbe valere la pena, ma può funzionare in una situazione in cui non si desidera divulgare alcuna informazione che potrebbe portare a identificarvi (l'ispezione attraverso i log del server per l'attività di abbinamento come @ AbsoluteƵERØ menziona nella sua risposta, o rivelando la tua identità in un secondo momento durante il tentativo di notificare il rispettivo proprietario del server web).
In un certo senso, il tuo rappresentante legale potrebbe testare i motivi e potrebbe anche essere d'accordo sui termini di divulgazione di non-prosecution. Successivamente, è possibile decidere di procedere con una divulgazione dettagliata che potrebbe aiutare il proprietario a mitigare eventuali vulnerabilità rilevate, o semplicemente allontanarsi, se non si ha motivo di fidarsi del proprietario, temere l'azione penale o il proprio rappresentante legale lo consiglia . Questa è solitamente definita decisione tattica informata nella lingua legale (ovviamente non sono un avvocato, intendiamoci).
Il rappresentante legale è obbligato a proteggere i propri interessi e non può essere costretto a rivelare informazioni compromettenti e rivelare la propria identità, a meno che non si presuma una chiara minaccia per la vita o un livello simile di pericolo (in base alle leggi locali). Queste leggi sono relativamente simili nella maggior parte delle democrazie, anche se non lo so specificamente per il Canada. Non dovrebbe costare nulla chiedere direttamente ad un avvocato, tuttavia, la consulenza legale è solitamente (e dovrebbe essere) gratuita, mentre il costo di gestione del protocollo di divulgazione concordato può essere coperto dalla parte beneficiaria (il proprietario) della divulgazione.
Comunque, ho pensato che valesse la pena menzionare questa opzione. Se ritieni che sia troppo complicato e richiede molto tempo, ti suggerisco di seguire i suggerimenti di quei rispondenti che capiscono che potresti metterti nei guai e suggerirti su cosa prestare attenzione e su come aggirare questo problema. Vedendo questa domanda sufficientemente trattata prima della mia risposta, non volevo ripetere i punti già fatti.
Modifica da aggiungere : una cosa non è particolarmente chiara, ma potrebbe limitare la nostra capacità di dare una risposta più significativa e pertinente. Che cosa intendi esattamente per "trovare i bug" ? ti sei imbattuto per caso, con l'uso normale del loro sito web, solo per caso capisci che alcuni bug sono sfruttabili e qualunque cosa tu abbia fatto per imparare su di loro è ripetibile da qualsiasi altro utente rispettoso di ToS, o hai cercato / scansionato attivamente per bug e vulnerabilità? Questo è l'IMO il fattore più decisivo per la divulgazione dei risultati senza timore di procedimenti giudiziari, o dovresti prendere delle precauzioni (come già trattato in altre risposte).
Probabilmente dipende da come l'hai trovato. Se si tratta di qualcosa che hai trovato casualmente utilizzando il sito, è probabilmente improbabile che ti possa essere fatto qualcosa se lo comunichi alla compagnia. Se stavi cercando bug e cercassi attivamente di trovare problemi, allora potrebbe essere una storia molto diversa.
Può variare in base alle leggi locali, ma in generale, il nocciolo del problema si basa su se si stesse utilizzando il sistema nel modo in cui intendevano utilizzarlo quando il bug è stato trovato. Se stavi usando correttamente il sito e ti sei imbattuto in esso, allora dovresti essere ok.
Se stavi vedendo quale input whacky potresti inserire e trovato un modo per ottenere una risposta non valida, allora potresti essere nei guai a meno che non abbiano un programma di ricerca bug stabilito in cui hanno chiesto alle persone di provare a trovare problemi nel loro sistema.
Se non è chiaro se hanno un programma di ricerca bug come questo, un modo possibile per avvicinarsi è contattarli chiedendo se se ne preoccupano se hai fatto qualche test del sito e fornire loro i risultati. Se ti chiedono di non farlo, allora non dirgli del bug. Se dicono bene, aspetta un paio di giorni e poi fagli sapere cosa hai trovato.
Dipende da cosa intendi per bug. Se quello che intendi è uno che potrebbe essere sfruttato per causare danni o l'accesso a un server, allora negli Stati Uniti sarebbe probabilmente trovato illegale sotto Legge sulle frodi e gli abusi informatici . Diversi hacker con i cappelli bianchi sono stati arrestati negli Stati Uniti anche se non hanno causato alcun danno Vedi questo articolo e nota Adrian Lamo .
Sembra che potrebbe essere illegale secondo il codice penale canadese nella sezione 342.1 .
È stato detto da syb0rg che alcune aziende sono d'accordo con te che trovi bug e altri no.
Ti consiglierei di contattare prima l'azienda e chiedere il permesso. In questo modo eviti qualsiasi problema legale che potresti non essere stato visto.
Normalmente la loro notifica non è illegale, ma la ricerca di bug in genere lo è. Molte persone hanno ottenuto il tempo di prigione per quello che stai suggerendo.
In realtà, dipenderà completamente dai termini del tuo utilizzo del sito. Se il sito dice che non puoi eseguire alcun tipo di test di sicurezza e lo fai, potresti trovarti in violazione di CFAA (18 USC § 1030 (a) (2) (c) in particolare) (presumendo che voi o il sito si trovino negli Stati Uniti) che può portare accuse di crimine e carcere. Detto questo, quasi tutti gli utenti di Internet sono in violazione della CFAA, ma pochissime persone vengono punite con essa, quindi dipende da come reagirà la società in questione e da quanto potere politico potranno oscillare. Inoltre, c'è una differenza tra la ricerca di un bug tramite l'uso normale e la ricerca di bug, quindi può dipendere anche dai termini del sito web.
Ma, per essere pienamente interessati alla legalità, avremmo bisogno di coinvolgere gli avvocati. Ad esempio, c'è una qualche buona protezione da Samaritano? Forse nella tua giurisdizione, ma non dove è ospitato il sito web. In tal caso, quale legge si applica?
In conclusione le leggi sono troppo complesse per una semplice conclusione, e mentre io e gli altri che conosco saremmo grati per l'aiuto nella risoluzione di eventuali problemi, non posso parlare per il proprietario del sito web in questione.
Leggi altre domande sui tag legal disclosure