2000 Set di informazioni personali

4

Quindi la storia va come questa ..

Recentemente ho riscoperto un vecchio sito web che andavo abbastanza spesso ma non ricordo il mio login. Il sito è mal fatto e non è stato aggiornato in circa 5 anni, quindi ho provato una semplice SQL-Injection per accedere al mio vecchio account ed ecco, ero in. Il problema è che io (e chiunque altro con un po 'di conoscenza SQL) hanno accesso a ~ 2000 utenti:

  • E-mail
  • Password (normale / testo)
  • Nome completo
  • Data di nascita
  • Messaggi privati

Quindi ho fatto la cosa giusta, ho inviato una email al proprietario del sito. È passato più di un mese e nessuna risposta o modifica al sito.

La mia domanda è:

Cosa dovrei fare in questa posizione? Dovrei provare a distruggere il sito in un modo "non così legale"? dubito che il proprietario farà qualcosa al riguardo. È un vecchio sito con non più di 10-40 persone online in un dato momento, ma molte persone riutilizzano e-mail e password, quindi scommetto che molti di loro potrebbero funzionare su altri account più importanti.

    
posta b00n 01.05.2014 - 09:25
fonte

2 risposte

4

StackExchange non è il posto adatto per consigli legali o etici. Tuttavia, ecco alcune possibili azioni (non ti consiglio su nessuno di loro).

Per prima cosa, tieni presente che potresti aver violato la legge solo accedendo a tali informazioni in primo luogo, ma questo è un punto a parte.

Azioni che potresti intraprendere:

  • Niente, non fare nulla e semplicemente imparare da questa esperienza. Assicurati che i tuoi clienti non si espongano in questo modo.
  • Continua a tentare di avvisare i proprietari. Una ricerca whois ti fornirà i dettagli necessari. Anche se si tratta di una registrazione privata, il registrar (elencato nel leu del proprietario reale) avrà i record del proprietario e potrà raggiungerli.
  • Inoltre, puoi segnalarlo come una minaccia all'FBI se la vulnerabilità non è corretta. ( link )
  • Un'altra idea sarebbe quella di avvisare ogni persona su quell'elenco riguardo al problema.
  • Mentre potresti sicuramente fare cose nefaste, non lo farei. Per prima cosa, questo 'exploit' potrebbe essere un honeypot o potresti diventare l'interesse di un'indagine.

Ricorda che non sei il primo a scoprire questa vulnerabilità. Quindi i dati esposti sono stati là fuori per un po 'di tempo e quindi anche abbatterlo ora non cambierebbe il fatto che ora è compromesso.

Ancora una volta, non sto consigliando alcuna linea di condotta particolare.

Modifica: ho riletto la tua domanda. Sembra che tu abbia già violato la legge eseguendo un'iniezione SQL, quindi tienilo a mente quando prendi la tua decisione.

Modifica 2: qui ci sono altri due link rilevanti nella segnalazione delle vulnerabilità:

  • link (questo è il link "vulnerabilità web", ne hanno anche molti altri)
  • link (questa è una ONG [Organizzazione non governativa] che fa la stessa cosa)
risposta data 01.05.2014 - 19:37
fonte
12

Non fare assolutamente nient'altro con o sul sito.

Non peggiorare le cose.

In molte giurisdizioni potresti aver già tagliato il traguardo in modo non legale. (Tra l'altro, dovresti ricevere consulenza legale da un avvocato specializzato in reati informatici nella tua giurisdizione su ciò che hai fatto.)

Hai avvertito il proprietario del sito, che ti elogiamo, e il tuo avvocato ti urlerà per. Se lo ignorano, questo dipende da loro.

Infine, se hai utilizzato quella password in qualsiasi altro luogo, sostituiscila immediatamente.

    
risposta data 01.05.2014 - 09:36
fonte

Leggi altre domande sui tag