Un test di vulnerabilità automatizzata dovrebbe effettivamente eliminare o modificare i dati in produzione?

3

Abbiamo assunto una società esterna per eseguire un test di vulnerabilità su uno dei nostri siti. Nel giro di poche ore, abbiamo avuto problemi. Intere tabelle spazzate via. Intere tabelle eliminate. Centinaia di dischi in altri tavoli spariti. Alcuni dati della tabella sono stati modificati. Questo è tutto in un db che esegue un LIVE, sito di produzione.

Abbiamo utilizzato l'azienda negli anni precedenti senza problemi. Ovviamente, il sito ha enormi buchi di sicurezza. Ma a parte questo, la mia domanda / preoccupazione è questa:

  1. Quanto è comune questo? Capisco che nessun pentitore può garantire che non si innescherà qualcosa, ma in realtà non ho mai sentito di una scansione automatica cancellazione / modifica dei dati nel database.
  2. Dovrei essere preoccupato che il software automatizzato utilizzato possa essere effettivamente dannoso (ironicamente)?

Sto solo cercando una piccola guida / pensieri / esperienze di altri sulla situazione.

    
posta Learning Security 04.11.2016 - 14:00
fonte

2 risposte

4

1 Questo è abbastanza raro. E quando succede, è altamente indesiderabile. Conosco pentesters che hanno perso clienti per un sacco di fallimenti molto meno gravi.

2 sì, sicuramente. Le prove ci sono; lasciare cadere un tavolo è qualcosa su cui devi essere molto esplicito.

Vorrei esaminare il poderoso accordo che hai firmato. Qualsiasi contratto di pentest dovrebbe avere un ambito definito, escludendo gli ambienti di produzione da azioni che potrebbero avere un impatto su di essi.

    
risposta data 04.11.2016 - 14:27
fonte
0

Sì, puoi e farai causa e perderai, a causa della giurisprudenza, come ad esempio: link

Ogni società di consulenza dovrebbe avere un'assicurazione tecnologica con E & O (errori e omissioni) che coprirà le spese legali e giudiziarie quando verrà denunciato per aver eliminato i dati di produzione durante un pen-test.

Garantisci qualità, sicurezza, privacy e sicurezza nei tuoi processi!

    
risposta data 04.11.2016 - 21:25
fonte

Leggi altre domande sui tag