Questo rientra nell'ambito del Scopo del test e tutte le parti in un test di penetrazione dovrebbero anticipare la scoperta di dati protetti e credenziali private nel corso del test.
La tua aspettativa definita come cliente dovrebbe essere l'esplicita e ragionevole garanzia che tutti i dati raccolti e le credenziali dei social media saranno utilizzati entro i confini dell'ambito e resteranno privati e sotto la custodia della penetrazione tester per la durata e un periodo di tempo stabilito dopo il completamento del test e unicamente allo scopo di documentare i risultati.
Se il TUO particolare ambiente consente a un dipendente di accedere ai materiali aziendali tramite le proprie credenziali di social media personali, ALLORA SÌ, dovresti includerlo nell'ambito del coinvolgimento. I pentesters non dovrebbero fare nulla di illegale contro il fornitore di social media e speriamo che lo sappiano già!
Una clausola esplicita di distruzione effettiva dei dati raccolti, delle credenziali private e di tutti i "trofei" e di qualsiasi altro materiale interno che avanzi o che cattureranno verrà distrutta non più tardi di una data concordata e con un ben noto e il settore ha accettato il metodo di cancellazione dei dati della tua approvazione.
Non esiste un accordo contrattuale che isola il tuo pen tester da attività illegali, se si comportano in modo sciocco, illegale con quelle credenziali dei social media acquisite, saranno soggette alle conseguenze legali applicabili sia civili che criminali. Il cliente (VOI) non avrà voce in capitolo nel suo procedimento ... se mai qualcosa di simile si sia verificato.