Risposta a una scansione non autorizzata da una società legittima? [chiuso]

8

Il giorno di Natale, il nostro servizio web ha subito un attacco apparente e abbiamo risposto bloccando il (unico) IP sorgente. In seguito a un'indagine, si scopre che l '"attacco" era in realtà un'intensa scansione di vulnerabilità da parte di una società rispettabile. Sembra che uno dei nostri clienti di hosting lo abbia richiesto, ma non lo sappiamo per certo.

La scansione è iniziata con una richiesta per quello che presumo essere un file di verifica (ad esempio 38fsoif3n4.html) che non esisteva. Sfortunatamente, la nostra pagina 404 personalizzata è stata erroneamente configurata e ha restituito un codice di risposta HTTP di 200 anziché 404. Presumibilmente il bot ha controllato il file di verifica, è stato soddisfatto con una risposta di 200 e ha proseguito con la scansione.

Questa versione di eventi è stata riunita dai nostri file di log e sembra avere senso. Il problema è che la società in questione si rifiuta di discutere il problema con noi. Nella loro prima (e unica) risposta alle mie domande, hanno riconosciuto che una scansione è avvenuta e si è offerta di trasmettere le nostre informazioni di contatto alla parte che ha richiesto la scansione.

Questa è una risposta accettabile? Ho seguito e richiesto che, dal momento che avevano scannerizzato i nostri server senza la nostra conoscenza o il consenso - e presumibilmente fornito un rapporto a una terza parte - dovrebbero almeno darci una copia di tale rapporto.

Ho anche chiesto loro di rendere la loro verifica un po 'più robusta. Dovrebbero, per lo meno, ispezionare il contenuto del loro file di verifica, piuttosto che fare affidamento su una singola risposta HTTP 200. Questa era una scansione abbastanza intrusiva, con migliaia di richieste di moduli e tentativi di iniezione SQL in un breve periodo di tempo. Con questo tipo di impatto, probabilmente dovrebbero anche verificare tramite email di dominio (ad esempio [email protected]).

Non hanno risposto a queste richieste (ragionevoli, credo). Per un'azienda di sicurezza, hanno mostrato un approccio sorprendentemente restrittivo alla verifica e potrebbero aver rivelato una vulnerabilità nei confronti di un concorrente o di un hacker.

Come dovrei procedere? Legalmente? Bomba da tappeto per e-mail? Public Shaming?

MODIFICA per chiarire

Non siamo così preoccupati per i nostri clienti e non li perseguiremo legalmente. Forniamo un site-builder / CMS per utenti non tecnici e ospitiamo i loro siti in sottodirectory. Possono caricare file nella whitelist (nessun codice) e inserire testo e amp; html (JS lato client è OK, se lo desiderano). Non avrebbero bisogno di testare il proprio codice, poiché non ne hanno nessuno.

La nostra preoccupazione è la società di sicurezza che ha scannerizzato il nostro server senza permesso, presumibilmente ha dato i risultati di tale scansione a una terza parte, e ora non ci parlerà nemmeno di questo. Mi piacerebbe solo lasciar perdere ("eh, grandi compagnie, cosa farai?"), Ma sembra irresponsabile ignorarlo.

Basta cercare qualsiasi leva, a corto di legalizzazione, per convincere la compagnia a rispondere.

    
posta michaelg 14.01.2016 - 08:34
fonte

2 risposte

2

La possibilità di intraprendere un'azione legale dipende dal contratto e dai termini di servizio che hai stabilito, tuttavia probabilmente non è la soluzione giusta perché ti costerà denaro e perderai almeno un cliente. Potresti anche scoraggiare i tuoi clienti dall'avere eseguito test di penetrazione, il che sarebbe una brutta cosa.

Suggerirei di educare tutti i tuoi clienti sul modo giusto di fare i pentests. Informali che sostieni incondizionatamente i test di sicurezza, ma che può avere un impatto su tutti i clienti se non viene eseguito correttamente, in modo che possano contattarti per discutere obiettivi e tempistiche.

    
risposta data 14.01.2016 - 10:02
fonte
1

Che tipo di servizio stai fornendo? Dipende dal tuo TOS che cosa gli utenti possono o non possono fare, se hai un servizio di hosting dipende dal tuo TOS se un utente può scansionare il suo account di hosting per exploit con mezzi automatizzati senza il tuo previo consenso. La maggior parte delle persone sicure a SO prova i loro script / programmi di produzione non solo su localhost, perché la configurazione su hosting condiviso può ridurre la sicurezza o trasformare altre impreviste implicazioni sulla sicurezza. Hanno ragione a non fornire informazioni perché non sei il cliente, dovresti individuare la terza parte e partire da lì, per quanto riguarda il controllo, dovrebbero averne una migliore, ma suppongo che ci siano altri modi per verificare la proprietà di uno script / prodotto in modo da poter eseguire un test. Inoltre puoi sempre cercare uno script intrusivo sul tuo servizio di hosting che è stato utilizzato per il proxy o per attaccare direttamente qualcuno e che ha attivato la scansione. Anywya, la compagnia stava facendo il suo lavoro.

    
risposta data 14.01.2016 - 08:54
fonte

Leggi altre domande sui tag