Ho scoperto una vulnerabilità che può rivelare informazioni personali per più siti web. Come fare?

7

Non è tanto una vulnerabilità tecnica, quanto piuttosto una pratica sciatta della sicurezza da parte di una società di consulenza sul web design. Usano un CMS che hanno aumentato con un accesso di amministratore. Come succede, gli utenti admin sono memorizzati in una tabella e il campo password è in chiaro.

Dopo aver visto quale username / password hanno usato per il sito del mio cliente, sono sicuro al 99% che sia la stessa password su altri siti che hanno progettato. Un dozzina siti web nel loro portafoglio ha un modulo di accesso amministratore identico, ma ovviamente non posso testare legalmente se il sito è vulnerabile, perché l'unico modo per farlo sarebbe quello di tentare effettivamente di accedere.

Sarebbe ragionevole agire per contattare questi siti individualmente, dire loro del mio sospetto e suggerire come possono risolverli?

Ancora più importante, mi sto mettendo a rischio in questo modo? I proprietari più intelligenti capiranno che se sono vulnerabili, lo sono anche gli altri siti nel portfolio e potrebbero fare cose cattive, allo stesso tempo in cui dico a quei siti che capisco come accedere alle loro aree di amministrazione. Sembra che le dita possano essere puntate verso di me. Qualche suggerimento?

    
posta user58816 16.10.2014 - 17:04
fonte

1 risposta

6

A meno che non abbiano una qualche forma di programma di tipo bug bounty, ti stai mettendo in pericolo rivelando a organizzazioni che non ti hanno assunto. L'organizzazione può girarsi e dire "Ci stai hackerando, questa è una prova. Ti stiamo facendo causa. "Ho dovuto combattere la leadership senior in lavori passati per non seguire questa linea di condotta. O BS con mentalità simile perché lo vedono più come un attacco contro di loro. Pensano che sia più sicuro attaccarti e rivelare queste informazioni.

Se si tratta di organizzazioni più piccole, il rischio è minore. Generalmente, le tue informazioni andranno alle persone a cui interesserà e vorranno risolverle prima. Generalmente (non sempre) saranno grati per il feedback e vorranno supportarlo meglio. Nelle organizzazioni più grandi andrà prima in legale e decideranno come rispondere prima che possa andare alle persone che potrebbero risolverlo.

Se decidi di rivelarlo, prendi tutte le precauzioni possibili per assicurarti che non possano rintracciarlo. Personalmente, non lo rivelerei a meno che non abbiano un programma di tipo bug bounty. Non vale la pena rischiare la tua carriera per. Potrebbe sembrare contrario a ciò che dovremmo fare come professionisti della sicurezza. Indipendentemente dal fatto che tu voglia vincere o perdere in tribunale, la tua reputazione subirà un duro colpo e i datori di lavoro, così come il tuo attuale datore di lavoro, potrebbero pensarci due volte. Le organizzazioni possono andare anche dopo il tuo attuale datore di lavoro. Come risponderebbero a questo?

    
risposta data 17.10.2014 - 16:39
fonte

Leggi altre domande sui tag