Il giorno di Natale, il nostro servizio web ha subito un attacco apparente e abbiamo risposto bloccando il (unico) IP sorgente. In seguito a un'indagine, si scopre che l '"attacco" era in realtà un'intensa scansione di vulnerabilità da parte di una società rispettabile. Sembra che uno dei nostri clienti di hosting lo abbia richiesto, ma non lo sappiamo per certo.
La scansione è iniziata con una richiesta per quello che presumo essere un file di verifica (ad esempio 38fsoif3n4.html) che non esisteva. Sfortunatamente, la nostra pagina 404 personalizzata è stata erroneamente configurata e ha restituito un codice di risposta HTTP di 200 anziché 404. Presumibilmente il bot ha controllato il file di verifica, è stato soddisfatto con una risposta di 200 e ha proseguito con la scansione.
Questa versione di eventi è stata riunita dai nostri file di log e sembra avere senso. Il problema è che la società in questione si rifiuta di discutere il problema con noi. Nella loro prima (e unica) risposta alle mie domande, hanno riconosciuto che una scansione è avvenuta e si è offerta di trasmettere le nostre informazioni di contatto alla parte che ha richiesto la scansione.
Questa è una risposta accettabile? Ho seguito e richiesto che, dal momento che avevano scannerizzato i nostri server senza la nostra conoscenza o il consenso - e presumibilmente fornito un rapporto a una terza parte - dovrebbero almeno darci una copia di tale rapporto.
Ho anche chiesto loro di rendere la loro verifica un po 'più robusta. Dovrebbero, per lo meno, ispezionare il contenuto del loro file di verifica, piuttosto che fare affidamento su una singola risposta HTTP 200. Questa era una scansione abbastanza intrusiva, con migliaia di richieste di moduli e tentativi di iniezione SQL in un breve periodo di tempo. Con questo tipo di impatto, probabilmente dovrebbero anche verificare tramite email di dominio (ad esempio [email protected]).
Non hanno risposto a queste richieste (ragionevoli, credo). Per un'azienda di sicurezza, hanno mostrato un approccio sorprendentemente restrittivo alla verifica e potrebbero aver rivelato una vulnerabilità nei confronti di un concorrente o di un hacker.
Come dovrei procedere? Legalmente? Bomba da tappeto per e-mail? Public Shaming?
MODIFICA per chiarire
Non siamo così preoccupati per i nostri clienti e non li perseguiremo legalmente. Forniamo un site-builder / CMS per utenti non tecnici e ospitiamo i loro siti in sottodirectory. Possono caricare file nella whitelist (nessun codice) e inserire testo e amp; html (JS lato client è OK, se lo desiderano). Non avrebbero bisogno di testare il proprio codice, poiché non ne hanno nessuno.
La nostra preoccupazione è la società di sicurezza che ha scannerizzato il nostro server senza permesso, presumibilmente ha dato i risultati di tale scansione a una terza parte, e ora non ci parlerà nemmeno di questo. Mi piacerebbe solo lasciar perdere ("eh, grandi compagnie, cosa farai?"), Ma sembra irresponsabile ignorarlo.
Basta cercare qualsiasi leva, a corto di legalizzazione, per convincere la compagnia a rispondere.