Come fare a un sito Web per correggere la loro scarsa sicurezza?

13

Sto seguendo un corso online da un'istituzione locale. Recentemente, ho notato che non hanno password hash perché mi hanno inviato la mia password via e-mail in testo chiaro.

Il sito web ha molte informazioni personali, quindi ho deciso di testare quanto è sicuro.

Dopo alcuni minuti di test del sistema di messaggi privati, ho scoperto che è possibile visualizzare, eliminare, rispondere a qualsiasi messaggio con qualsiasi nome utente. Inoltre, hanno inviato un messaggio a tutti con la loro password di recente, così posso vedere la password di tutti. Sono possibili anche attacchi XSS.

Ho segnalato le vulnerabilità e non è stato ancora corretto (è stata solo una settimana, ma se fossi responsabile di un sistema come questo, non avrei dormito fino a quando non è stato sistemato tutto).

Come posso rendere loro sicuro il loro sito web correttamente? Anche le mie informazioni personali sono a rischio qui.

(Per essere sicuro che non ci siano più risposte a riguardo, sono ben consapevole delle leggi, non cambia il fatto che un giorno qualcuno farà esattamente quello che ho fatto, ma con cattive intenzioni.)

    
posta Simon 03.06.2013 - 17:14
fonte

2 risposte

16

Quindi ci sono un paio di opzioni potenzialmente aperte, a seconda del paese in cui vivi, ma prima di tutto una nota di cautela.

Hai "testato" il sito e riportato i risultati. In molti paesi, se i proprietari delle applicazioni vogliono scoprire che li hai "hackerati", potrebbero farlo, e potrebbe essere un male per te. Dico questo solo per poterlo pesare quando stai prendendo in considerazione altre azioni. Lascerò da parte ulteriori elementi legali sull'hacking perché è stato trattato in altre risposte.

Fondamentalmente i principali modi per indurli ad affrontare questo o riportando questo ad un regolatore / ente governativo che sono responsabili per la protezione dei dati (ad esempio nel Regno Unito, il commissario per le informazioni), poiché sembra che non stiano prendendo il caso misure per proteggere i dati personali che stanno elaborando. Questo potrebbe indurli a risolverlo se il regolatore li contatta per quanto riguarda il problema.

L'altra opzione sarebbe cercare di attirare cattiva pubblicità sul sito, pubblicando i dettagli del vuln. Questo potrebbe avere l'effetto desiderato, ma sappi che un probabile effetto collaterale è che potrebbero intraprendere azioni legali contro di te (sempre in base alla giurisdizione, sono attitudini alla sicurezza, ecc.)

    
risposta data 03.06.2013 - 18:11
fonte
3

" quindi ho deciso di testare la sua sicurezza. " E c'era il punto in cui hai tagliato il limite. A meno che tu non abbia il permesso esplicito di "testare" la sicurezza, stai infrangendo la legge.

"Exceeds Authorization The term "exceeds authorized access" is defined by the CFAA to mean "to access a computer with authorization and to use such access to obtain or alter information in the computer that the accesser is not entitled so to obtain or alter." 18 U.S.C. § 1030(e)(6)." https://ilt.eff.org/index.php/Computer_Fraud_and_Abuse_Act_%28CFAA%29

Ora sul tuo altro commento: " Qui sono a rischio anche le mie informazioni personali. " Chiedi di rimuovere i tuoi dati perché non desideri essere su un sistema non sicuro. Tuttavia, come ho affermato inizialmente, a meno che tu non abbia il permesso esplicito per testare il loro sito, starei molto lontano dal farlo.

Ho intenzione di modificare il mio commento. Mentre ho pubblicato le informazioni sulle leggi statunitensi, questo è perché sono degli Stati Uniti. Non ho visto altri paesi dove testare senza autorizzazione non è legale. Per rispondere alla tua modifica, Simon: " Non cambia il fatto che un giorno, qualcuno farà esattamente quello che ho fatto ma con cattive intenzioni " Questo è completamente irrilevante. Perché infrangere le leggi per dimostrare un punto. Se ti opponi al fatto che i tuoi dati siano archiviati su quel server, chiedigli di rimuoverli.

Mentre il tuo pensiero iniziale sarebbe che stai "aiutando" quelli con le informazioni pubblicate esponendo il rischio (lo stesso potrebbe essere), ci sono stati casi in cui l'esposizione di "difetti" ha led to jail time . Puoi contattare chiunque sia responsabile per il loro server, se questo non funziona, puoi iniziare a fare da CC ad altri nella stessa azienda / istituzione, forse questo sarebbe di aiuto. Se ti trovi negli Stati Uniti, puoi provare a ottenere questo indirizzo tramite CERT . Se in un altro paese, puoi provare a trovare il CERT di quel paese.

    
risposta data 03.06.2013 - 17:27
fonte

Leggi altre domande sui tag