Sono preoccupato per il fatto che un sito Web che utilizzo sia vulnerabile - correzione delle vulnerabilità (Regno Unito) [duplicato]

3

Sono un cliente pagante di un servizio. Non posso cambiare fornitore senza danneggiare la mia attività.

Credo che il sito web sia vulnerabile a vulnerabilità molto elementari (url-manomering (IDOR)) che potrebbero rivelare le mie informazioni personali e potenzialmente peggio.

L'amministratore nega che il sito sia vulnerabile e non mi permetterà di testare né farà controllare il sito da professionisti.

Tutto quello che posso pensare è segnalare la mia preoccupazione al link ma senza alcuna prova concreta al di là delle password che vengono memorizzate in testo semplice .

Come posso garantire che il sito risolva i problemi di sicurezza di base, se esistono?

    
posta Qgenerator 02.01.2016 - 13:20
fonte

1 risposta

4

Se non puoi (almeno facilmente) cambiare fornitore (presumo che tu sia bloccato in un servizio che non può essere spostato), devi fare alcune cose. Per te, i tuoi affari e i tuoi clienti (se fanno uso del servizio).

Per cominciare, non sono un avvocato quindi starai meglio a discuterne con un avvocato .

Prima leggi il tuo contratto di assistenza: c'è qualcosa riguardo "gli sforzi ragionevoli" che il fornitore dovrebbe fare, dal punto di vista della sicurezza? Se è così, ci sono buone pratiche sul modo in cui un'applicazione deve essere protetta. Potresti indicare al tuo fornitore che potrebbe essere in violazione di un accordo.

Ora - a lui non importa, sapendo che sei bloccato dentro di lui e risolvere il problema in tribunale è troppo lungo / complicato / qualunque sia per te.

In tal caso devi fare un po 'di due diligence . L'idea è che, in caso di cose brutte che accadono (il servizio è violato, i dati di tuo e dei tuoi clienti sono in libertà) puoi provare di aver fatto tutti i passi ragionevoli per avvisare di possibili problemi. Conserva una copia degli scambi. Quindi avvisa l'amministratore che, in caso di problemi, sarà responsabile di tutti i costi.

Ciò che puoi fare e il valore reale delle tue azioni variano considerevolmente con le circostanze esatte del tuo caso. Di nuovo, consulta un avvocato .

Vorrei anche raccomandare caldamente di pianificare uno switch di provider. Sono consapevole che questa non è un'opzione facile, ma in genere si riduce alle risorse (tempo, denaro).

Infine, non tentare di hackerare il suo sito a scopo dimostrativo. Questo non solo è illegale (e soggetto ad apprezzamento da parte di una giuria) ma potresti anche danneggiare il suo servizio con tutte le conseguenze (interruzione per altri clienti, ad esempio).

    
risposta data 02.01.2016 - 19:44
fonte

Leggi altre domande sui tag