Come gestire la divulgazione responsabile "catturare e uccidere"

11

I miei colleghi e io abbiamo scoperto un importante problema di sicurezza in uno strumento di sicurezza informatica popolare, che andrà senza nome qui per ragioni che diventeranno evidenti.

Abbiamo segnalato il problema al fornitore dello strumento tramite il loro programma di bug bug su bugcrowd. Lo hanno classificato come un problema P2 e ci hanno pagato $ 2.000 per questo.

Sono passati circa sei mesi, e il problema non è ancora stato risolto, né ci hanno dato un calendario per quando sarà. Ci hanno anche informato che secondo i termini del loro programma di bug bug non siamo autorizzati a rivelare pubblicamente il problema, non importa quanto tempo ci vuole per risolverlo. AGGIORNAMENTO: li ho seguiti due volte dopo averlo segnalato, esprimendo crescente agitazione per il fatto che il problema non è stato ancora risolto e mi sembra probabile che sia stato sfruttato, e questo è quello che mi è stato detto ogni volta.

Il problema non era per noi arcano o difficile da scoprire e riprodurre. Ci sono state molte discussioni pubbliche su problemi di questo tipo in strumenti di questo tipo. Questo mi fa preoccupare che fossero a conoscenza del problema prima di segnalarlo a loro, e ci ha pagato la taglia di $ 2,000 per "catturare e uccidere" il nostro rapporto, cioè per impedirci di rivelarlo pubblicamente prima di ripararlo.

Sono preoccupato che gli hacker stiano sfruttando la questione in natura per compromettere i dati delle persone, e il fornitore dello strumento sta permettendo che questo continui non rivelando o risolvendo il problema.

Anche nella versione esistente dello strumento, è possibile applicare una soluzione per ridurre al minimo l'impatto del problema, pertanto la divulgazione consentirebbe alle persone che utilizzano lo strumento di proteggersi prima ancora che venga rilasciata una correzione. Sono quindi sempre più a disagio nel sedermi a conoscenza di questo problema piuttosto che rivelarlo pubblicamente.

A questo punto sarei felice di inviare un assegno di $ 2,000 al loro indirizzo postale aziendale e dire loro di prendere la loro taglia e spingerlo e poi divulgare pubblicamente il problema per proteggere gli altri utenti dello strumento. Il problema è che abbiamo donato i 2.000 dollari in beneficenza - come abbiamo detto loro che stavamo progettando di fare quando abbiamo segnalato loro il problema - quindi non abbiamo più i soldi per rimandarli indietro.

Qualcuno ha qualche consiglio da offrire?

    
posta Jonathan Kamens 10.12.2018 - 23:08
fonte

2 risposte

4

Dovresti segnalare la vulnerabilità a Mitra per ottenere un CVE assegnato o su Full Disclosure .

Quando un venditore si rifiuta di correggere un bug che hai segnalato, è eticamente accettabile divulgarlo apertamente o provare a ottenere un CVE assegnato per questo. Ciò è particolarmente importante se si ritiene che il bug possa essere sfruttato in natura e ancor più se la conoscenza della vulnerabilità consente una facile mitigazione da parte degli utenti finali. Le persone in genere attendono un determinato periodo di tempo prima di segnalare una vulnerabilità che non è stata corretta. È comune divulgare il problema al fornitore e attendere 90 giorni prima di renderlo pubblico.

Probabilmente ti butteranno fuori dal programma, ma non potranno recuperare i soldi senza impegnarsi in una causa confusa. Infatti, poiché tali società non sono in grado di riprendersi facilmente i soldi senza ricorrere ad azioni legali, queste società che vendono 0 giorni (spesso le più non etiche che pagano i prezzi più alti) spesso ti danno il pagamento lentamente per un periodo di tempo, consentendo loro di terminare il pagamento in anticipo se rivelate il bug senza coinvolgere il sistema legale per porre rimedio alle violazioni.

È molto importante ricordare che, mentre il denaro è tuo (supponendo che il contratto lo dica!), potresti essere citato in giudizio per violazione del contratto e costretto a pagare ancora più denaro di quello che hai guadagnato (sia in spese legali che in danni dalla causa). Mentre la violazione del contratto non è criminale nella maggior parte dei paesi, la legge civile è ancora in vigore. Se questo è importante per te o se non vuoi rischiare una causa da parte di una società litigiosa, dovresti consultare un vero avvocato e non prendere consigli legali da sconosciuti su Internet.

    
risposta data 11.12.2018 - 04:33
fonte
1

Non vedo come hai avuto una scelta qui. Hai accettato il denaro secondo i termini del programma di bug bug. Non puoi annullare il contratto poiché hai già dato i soldi.

under the terms of their bug bounty program we're not allowed to publicly disclose the issue no matter how long it takes them to fix it.

Pertanto, non puoi rivelare il bug senza violare il contratto.

Se contrarre un contratto dipende molto da quanti soldi, tempo e sforzi siete disposti a mettere in questo. Una causa diventa rapidamente stressante e costosa. Dato che violentemente hai violato un contratto, è molto probabile che la società ti denunci, poiché ciò comporta un rischio minimo per loro.

Penso che l'opzione migliore sia contattare di nuovo il fornitore e lavorare con loro. Aiutali a implementare la correzione corretta. Se la persona con cui sei in contatto non ti sembra utile, forse puoi contattare qualcun altro in azienda.

    
risposta data 11.12.2018 - 11:30
fonte

Leggi altre domande sui tag