Dove segnalare la perdita di dati della carta di credito e del telefono esn

12

Non sono sicuro se questa sia la comunità giusta per postarla, per favore indicami la direzione giusta se non.

Recentemente ho scoperto che il mio fornitore di servizi cellulari (un MVNO) ha un'API non autenticata che restituisce (tra le altre cose) i dati della mia carta di credito (nome, numero, data di scadenza, indirizzo, CVV), password hash e numeri di conto, e numero ESN del mio telefono. Qualcosa del genere:

Richiesta

curl --data "phone=1234567890" https://example.com/api/getdata

risposta

Nota: ho tolto molti dati e rinominato i tasti. C'erano molti altri campi che non sembravano molto importanti.

"account": {
  "phoneNumber": "1234567890",
  "ESN": "1111111111111111111",
  "startDate": "01/01/2010 00:00:00",
  "payment": {
    "card": "1111111111111111",
    "CVV": "111",
    "name": "My Name",
    "expMonth": "01",
    "expYear": "2021",
    "street": "111 Example Street",
    "zip": "11111"
  },
  "accountNumber": 11111111,
  "balanceEndDate": "01/01/2020 00:00:00",
  "balance": 0,
  "status": "Active",
  "planId": 00000,
  "password": "<what looks like a salted MD5 hash.>"
}

Sono sufficienti dati per fare molti danni. Oltre a utilizzare la scheda, possono trasferire il mio numero su un gestore diverso e utilizzare l'autenticazione a 2 fattori per reimpostare le password su molti dei miei account più legati alla sicurezza (think bank).

L'ho scoperto l'altro giorno usando il loro sito web. Hanno un'opzione "Ricarica" che prende il tuo numero di telefono e ti dice il tuo saldo e ti consente di ricaricare. Quando ho capito che stavano dicendo il mio saldo senza effettuare l'accesso, ho aperto gli strumenti di sviluppo per esaminare la risposta ajax. Con mia sorpresa (e orrore), ho visto i dati della mia carta di credito.

Che cosa fare?

Non sono sicuro di chi dovrei segnalarlo ad eccezione di Visa / MasterCard. Ci sono gruppi governativi / industriali che potrebbero essere interessati? Sono negli Stati Uniti.

    
posta user150880 14.06.2017 - 00:22
fonte

1 risposta

6

Prima di tutto:

  • tu non segnala questo al governo / parte esterna / visa / mastercard

Le parti esterne servono a complicare le cose attraverso il conflitto di interessi. Non sono affari loro, sono affari della compagnia che ha la vulnerabile api. Non è per loro decidere come gestire questo, ma la società.

  • Non dire a nessuno nella tua cerchia di amici, familiari o nessuno dei dettagli.

Qui puoi metterti nei guai molto facilmente. Se si scopre in seguito che qualcuno che conoscevi usava o tentava di usare le informazioni, potresti essere ritenuto responsabile di azioni sconsiderate o, per lo meno, strongmente investigate. Non metterti in questa posizione e non dire niente a nessuno che permetta loro di ripetere la vulnerabilità.

  • Non farti prendere dal panico

La cosa migliore che puoi fare adesso è tranquillamente fare un piano ed eseguirlo. Chiunque sia in grado di sfruttarlo probabilmente lo sa già. Chiunque non lo stia probabilmente non lo scoprirà nei prossimi giorni.

Ora, su: Divulgazione responsabile

Passaggio 1 - Preparare

Prima di tutto, dobbiamo assicurarci che l'API vulnerabile sia ben documentata e abbia una serie di istruzioni. Ad esempio, un piccolo report, non deve essere lungo, ma solo facile da seguire. L'idea è, lo stagista all'interno dell'ufficio dovrebbe essere in grado di seguire i passaggi, riprodurre la vulnerabilità e identificare con successo i rischi per la sicurezza. Verrà eseguito un piccolo documento PDF o WORD, ma assicurati di avere qualcosa pronto nel caso in cui le cose si spostino rapidamente.

Passaggio 2 - Primo contatto

Il prossimo viene il primo contatto con l'azienda. Il primo contatto è una cosa delicata. Da un lato ci si aspetterebbe che l'azienda abbia l'interesse dei propri clienti come prima priorità. D'altra parte alcune aziende rispondono piuttosto male (e secondo me, irresponsabilmente) alle persone che rivelano vulnerabilità a beneficio di tutti i soggetti coinvolti. Per questo motivo si desidera mantenere i dettagli esatti fino a quando non viene raggiunto un accordo che nessuna azione verrà intrapresa contro di voi.

Io sono il tipo paranoico e quando incontro questo genere di cose, vado in un bar, uso TOR e uso un'email (una che ho impostato usando un processo simile) per iniziare il primo contatto . È comunque a te decidere il livello di anonimato che desideri utilizzare.

Alcune cose che puoi controllare. Se la compagnia ha una taglia del bug, o ha una politica di divulgazione. Dovresti stare bene. Puoi chiamare l'azienda e chiedere se hanno un dipartimento responsabile per le informazioni sulla sicurezza. La maggior parte delle aziende di queste dimensioni ha un'e-mail [email protected] . Tutti questi dati avrebbero informazioni che ti porteranno esattamente dove dovrebbe essere fatto il primo contatto.

Passaggio 3: elaborazione

Una volta che stai parlando con la persona giusta, dovrebbe funzionare da lì, tranne che, come ho notato in precedenza, se non ci sono criteri di sicurezza o di divulgazione assicurati di convincerli ad accettare i termini di divulgazione che implicano la tua sicurezza prima di tutto Ad un certo punto le consegnerai il documento che hai creato nel passaggio 1.

Passaggio 4 - Chiusura

L'ultimo passo da compiere è la divulgazione pubblica. Questo passaggio è del tutto facoltativo e sarà strettamente correlato ai termini di divulgazione concordati nel passaggio 3. Tuttavia, in genere, entrambe le parti accettano un periodo di tempo entro il quale l'azienda deve risolvere questa vulnerabilità prima che possa essere reso pubblico un annuncio. È del tutto normale che il ricercatore desideri postarlo sul proprio blog o utilizzarlo come materiale di riferimento per altri progetti o qualifiche. Questo periodo di tempo fa in modo che la società non subisca eccessive pressioni e dia loro il tempo di agire.

Congratulazioni, hai appena avuto la tua prima divulgazione responsabile. Puoi scegliere di non annunciarlo mai, e va bene. In quel caso, il periodo di tempo dal punto 3 sarebbe, per te, quando puoi tranquillamente dire ad amici e familiari dettagli precisi.

Vorrei poter dare un rappresentante per aver voluto rivelare responsabilmente, ahimè, invece, ti auguro buona fortuna. Cerca di essere discreto, tieniti al sicuro e prova a lavorare con loro. Buona fortuna.

    
risposta data 14.06.2017 - 05:26
fonte

Leggi altre domande sui tag