Recentemente ho notato un rapporto sui test di penetrazione in cui la non conformità della normativa sui cookie dell'Unione Europea (UE) è stata dichiarata come una scoperta in una "altra" categoria. Considero questo più un problema legale, legato alla privacy e non tanta sicurezza.
Perché dovrebbe essere presente in un rapporto sui test di penetrazione? Ci sono possibili problemi relativi alla sicurezza di cui non sono a conoscenza?
Non conosco alcun impatto sulla sicurezza tecnica relativo al mancato rispetto delle leggi sui cookie dell'UE.
In definitiva ritengo che questo sia principalmente a discrezione del valutatore e del contesto della valutazione. Le questioni relative alla privacy sono adiacenti alla sicurezza e hanno impatti PR simili e possono persino essere giudicate in violazione dei diritti della persona, quindi penso che in alcuni casi tali risultati possano essere utili.
Per me la questione non è tanto se queste cose debbano essere segnalate al cliente, quanto se debbano o no essere nella stessa relazione pentest. Esistono altri canali di comunicazione che possono essere utilizzati per trasmettere queste informazioni. Potrebbe essere che questo è stato discusso e il cliente ha chiesto che fosse messo nel rapporto. Potrebbe persino essere che i problemi di conformità sono stati uno dei fattori chiave per fare in modo che la valutazione fosse fatta in primo luogo. Alcuni scopi includono esplicitamente la ricerca di risultati che potrebbero mettere in imbarazzo la società oi suoi associati (l'iniezione di contenuti è divertente qui).
Ho riferito di tutto, dai problemi di funzionalità agli errori di battitura (anche se gravi con conseguenze volgari) ai clienti quando si fa il lavoro di pentesting, quando appropriato, perché in definitiva il mio compito è di migliorare il loro sistema. Non credo che faccia male includere questo tipo di cose in un report perché può sempre essere rimosso e archiviato separatamente su richiesta del cliente.
Una vulnerabilità è qualcosa che ti lascia aperto alla possibilità di essere danneggiato. Essere perseguiti o denunciati per aver violato la legge è una forma di danno. Pertanto, non rispettare la legge è una vulnerabilità. È davvero così semplice.
Questo è un problema di sicurezza per gli utenti.
La non conformità delle leggi relative ai cookie include che i dati dei cookie vengono creati su di te mentre sei sul sito, dopo che hai fatto clic su "opt-out". Se il sito non riconosce il GDPR (leggi sulla privacy), alcune informazioni di identificazione personale sull'utente vengono divulgate nel dominio del sito , memorizzato e utilizzato in modi che equivalgono al tracciamento. Questo include:
I cookie sono una cosa ovvia da testare, ed è forse l'unico modo affidabile per testare il tracciamento, dal momento che le tecniche di backend sarebbero invisibili a meno che una specifica caratteristica di personalizzazione rimanga coerente tra le pagine visualizzate
Per alcuni corp di cui ho fatto parte, alcuni avvocati sostengono che i cookie non sono illegali purché non colleghino dati di sessione con un identificatore personale.
Indipendentemente da ciò, questo sarebbe un probabile vettore di errori o false dichiarazioni, e quindi mi aspetto che venga visualizzato in un rapporto relativo alla sicurezza dell'utente.
tl; dr: le persone non sembrano capire la privacy degli utenti è un problema di sicurezza per l'utente .
Inosservanza della legge significa che il sito deve essere riparato. In particolare, il GDPR non è una legge "facoltativa" in cui è possibile accettare le multe per una violazione.
Quindi è probabile che il sito debba essere riparato. Ma le scadenze del GDPR sono strette. Molte aziende hanno capito che devono iniziare presto. Per altri, come in questo caso, sarà un lavoro urgente. E l'esperienza con lavori urgenti è che nella migliore delle ipotesi ottieni ciò che ti viene richiesto. Pertanto, le modifiche dell'ultimo minuto al sito potrebbero non essere sottoposte a un'estesa revisione della sicurezza in quanto la conformità GDPR ha la precedenza.
Ad esempio, GDPR offre ai clienti il diritto di rivedere i propri propri dati. Un'implementazione affrettata può dare ai clienti il diritto di rivedere altri dati, compresi dati e dati aziendali sensibili di altri clienti. Questo è un problema di sicurezza definito. Pertanto, la necessità di affrettarsi con la conformità GDPR è correttamente identificata come un fattore di rischio.
Leggi altre domande sui tag legal cookies penetration-test compliance