Trovato una vulnerabilità di sicurezza sul sito relativo al gov

Naviga le tue risposte
8

Quindi non sono sicuro su come gestire ciò che ho trovato. È un buco di sicurezza davvero semplice, ma apre molti dati personali se sfruttato.

Ero su un sito di utilità pubblica (essendo vaga intenzionalmente) e stavo avendo un problema nel recuperare la mia password. Ho notato che era in grado di dirmi che la mia risposta alla domanda di sicurezza non era valida senza richiedere una nuova pagina e ho pensato che fosse strano quindi ho aperto i miei strumenti di sviluppo e ho scoperto che si basava interamente su Javascript per determinare se la mia risposta fosse corretta. A dire il vero, ho avuto la funzione restituire sempre true e sono stato accolto con la schermata di modifica della password, e (risulterà) non ha richiesto la vecchia password. Ho cambiato la mia password e ho avuto di nuovo accesso al mio profilo, ho solo bisogno di un nome utente per accedere alle mie informazioni.

Ho provato a inviare un'email al webmaster in merito al problema. Nessuna risposta. Sono preoccupato perché non avevo fatto molto sul sito e già avevo il mio SSN, il routing del conto bancario / numeri di accesso, indirizzo personale, ecc.

Cosa dovrei fare? Non voglio sentire tra qualche mese che qualche altro hacker amatoriale ha ricevuto tutte le informazioni e le ha vendute / diffuse. Grazie!

    
posta Un Named 14.04.2015 - 04:20
fonte

3 risposte

7

Qualsiasi problema con un'applicazione web del governo federale, vorrei contattare l'ufficio della mia persona congressuale.

Stanno diventando sempre più consapevoli e preoccupati della sicurezza e della privacy dei sistemi informatici governativi. Puoi dire quello che vuoi sul nostro congresso inattivo, in stallo, ma sono comunque abbastanza bravi a far accadere le cose alle varie agenzie governative che finanziano. Di 'loro quello che hai scritto sopra, specialmente che non hai mai avuto risposta.

Se non si ottiene la trazione da questo, fagli sapere che la persona del congresso è ora nella catena di persone che "hanno saputo ma non hanno fatto nulla" quando finalmente contattano la stampa.

Penso che chiamarli e chiedere soldi sia un'idea rischiosa.

    
risposta data 14.04.2015 - 17:54
fonte
2

La maggior parte dei paesi dispone di un Computer Emergency Response Team (CERT) che è possibile contattare, ad esempio: US-CERT, CERT Australia, ecc. Di solito dispongono delle connessioni corrette per risolvere il problema. Google CERT più il nome del tuo paese per iniziare.

    
risposta data 14.04.2015 - 04:28
fonte
0

In qualità di ex amministratore del servizio web contratto dal governo, la mia esperienza è che quasi tutti i servizi seguono un mandato per specificare una persona di contatto con la proprietà consapevole del servizio stesso - le loro informazioni di contatto dovrebbero apparire nell'applicazione da qualche parte, e qualsiasi circostanziabile l'errore di sicurezza genererà generalmente il tipo di risposta che ci si aspetterebbe, con l'escalation di un amministratore o di un ingegnere. Se questo non funziona, è probabile che l'agenzia madre abbia un contatto per il servizio web che possa indirizzare il problema.

In futuro, la tua capacità di ricevere assistenza pertinente potrebbe essere migliorata specificando il sito interessato piuttosto che l'exploit. Sei ora in un dilemma in cui non puoi indicare il sito per ottenere aiuto nel trovare una persona di contatto, perché farlo potrebbe potenzialmente coinvolgerti se dovesse accadere qualcosa di brutto.

e: Mi sono appena reso conto di aver letto erroneamente le date dei post come oggi, 15 aprile. Sentiti libero di ignorarmi, anche se la risposta sopra è probabilmente ancora valida.

    
risposta data 15.04.2016 - 22:13
fonte

Leggi altre domande sui tag

Come possono gli hacker indovinare le password (usando l'attacco dizionario o la forza bruta) senza essere bloccate? Qual è la differenza precisa tra un antivirus basato sulla firma e il comportamento?