Come gestire i problemi di sicurezza del sito Web di qualcun altro

19

Alcune settimane fa ho scoperto che qualcuno ha pubblicato per sbaglio i dettagli dell'account amministratore di un determinato sito Web su un wiki pubblico. Poiché ho trovato che i dati fossero reali (cioè potevo accedere al loro sito Web gestito da Wordpress), ho fatto immediatamente quanto segue: Ho rimosso i dati sensibili da quella wiki, ho chiesto all'amministratore della wiki di rimuovere permanentemente tutte le revisioni di quella pagina e ho scritto un'email all'amministratore per informarlo e chiedergli di cambiare la sua password il prima possibile.

Per peggiorare le cose, il problema di sicurezza non riguarda solo il loro sito web, ma anche i dati personali dei loro quasi 2000 utenti. Per finire, il sito web riguarda l'organizzazione di eventi IT di alto profilo (compresi eventi sulla sicurezza IT).

Ora sono trascorse tre settimane e non è successo nulla (cioè non ho ricevuto risposta né l'amministratore ha modificato la password). Se fossi l'amministratore, so cosa dovrebbe essere fatto. Ma come gestire questa situazione quando l'amministratore non gestirà il problema professionalmente? Finora, ho inviato loro solo una seconda email oggi.

Posso pensare a tre cose da fare, ma non sono sicuro se sono legalmente al sicuro qui?

  1. Invia un'email a tutti gli utenti per informarli del problema.
  2. Scrivi un post sul blog nella loro home page come "Questo sito Web è stato compromesso". (Sono talmente tentato di farlo. Ritengo che sia moralmente soddisfacente, poiché non cambierei nient'altro e sento che la loro base di utenti deve conoscere il problema. Ma non sono sicuro di poter essere nei guai se lo facessi che?)
  3. Informa la Federal Trade Commission a riguardo. (Il sito Web è basato negli Stati Uniti.)

Hai qualche consiglio su cosa sono legalmente e moralmente autorizzato e obbligato a fare?

    
posta selfthinker 25.06.2011 - 11:33
fonte

2 risposte

14

Per la consulenza legale è necessario cercare un avvocato. In alcuni paesi è già illegale effettuare un accesso "di prova" con un account che non ti appartiene.

Cosa farei?

Se il reparto IT non risponde e non risolve il problema, dovresti provare a raggiungere altre persone nella società , in particolare la gestione superiore, la relazione pubblica, la relazione con il cliente, il supporto di alto livello.

Contatta il CERT che è responsabile per te o per quella società. Hanno molta esperienza nell'ottenere l'attenzione dalle persone giuste. Quindi in questo caso US CERT .

Anche i moderatori della mailing list di Bugtraq sono stati utili.

Altre idee

La posta cartacea potrebbe attirare più attenzione della posta elettronica, soprattutto se si tratta di una corrispondenza cartacea con conferma di consegna.

Puoi provare a raggiungerli per telefono . Questo è probabilmente il modo più efficiente, ma fai attenzione che non possano rivendicare in seguito che hai provato a ricattarli.

Puoi dire loro che proverai a raggiungerli tramite i media pubblici su xxxx-xx-xx (2 settimane da oggi) come ultima risorsa se non riesci a raggiungerli. Ma ancora una volta, chiarisci che vuoi solo una conferma che il tuo rapporto è stato ricevuto.

Puoi raggiungere immediatamente i media , magari concordando con loro in anticipo che contatteranno la società prima di pubblicare la storia.

Dovresti sicuramente non abusare dell'account amministratore per modificare qualsiasi contenuto sul loro sito web, incluso creare un post sul blog.

Se pubblichi te stesso come post sul blog dalla tua parte, nella tua pagina utente su quel wiki, lo farei sotto forma di lettera aperta : una breve introduzione che dice che tutto il tuo Tentativi di raggiungere la compagnia sono falliti finora, quindi stai pubblicando questa lettera nella speranza che finalmente venga notata da quella compagnia. Forse aggiungi che hai deciso di diventare pubblico perché ti senti eticamente sotto pressione per avvisare le persone che sono a rischio i dati personali. E poi l'email originale. Potrebbe essere una buona idea ritagliare i dettagli (ad esempio la password e il nome della pagina wiki se è ancora nella cronologia).

    
risposta data 25.06.2011 - 13:00
fonte
8

In questo caso, sarei tentato di invocare il rasoio di Hanlon: non attribuire mai alla malizia ciò che è adeguatamente spiegato dalla stupidità. Probabilmente non sono malvagi, potrebbero semplicemente avere quell'account amministratore che si rivolge a un web designer / dipendente esterno che ha lasciato la società / qualche altro account di posta elettronica non monitorato.

I miei suggerimenti sarebbero:

  • Chiamali al telefono e cerca di raggiungere qualcuno in gestione e dì loro in un linguaggio semplice e semplice qual è il problema.

  • Qui in Scandinavia, abbiamo un registro pubblico di società e fondazioni ecc. Questo registro può essere consultato online e gli indirizzi dei membri del Consiglio di amministrazione possono essere trovati. Se puoi fare lo stesso, chiamali o invia loro una lettera (posta cartacea) che spiega il problema e che hai tentato due volte di raggiungere solo il webmaster. Questo dovrebbe certamente attirare la loro attenzione.

Indipendentemente da quali siano i tuoi sentimenti personali, non penso che un'umiliazione pubblica sia la risposta giusta. Non è che mi dispiaccia a vergognarli per i loro atti; è più che:

  • Una visualizzazione pubblica potrebbe invitare le persone cattive a compromettere ulteriormente i loro sistemi prima che questi ragazzi possano ripulire la sicurezza.
  • Il proprietario del sito potrebbe essere tentato di biasimarti aggressivamente, al fine di allontanare l'attenzione dai propri errori ( ecco un esempio di questo. ).
risposta data 25.06.2011 - 13:05
fonte

Leggi altre domande sui tag