Test di penetrazione aziendale / phishing [chiuso]

2

Se una società impiega un'azienda di sicurezza per "hackerare" nei propri sistemi e accetta di consentire a questa società di sicurezza di inviare email di phishing false ai dipendenti ...

... questa società (o la società di sicurezza) è legalmente responsabile se - nel processo di caduta di una delle email di phishing - un dipendente inserisce le credenziali di social network personali che vengono poi utilizzate (magari tramite l'accesso a società non-aziendali sistemi) per ottenere l'accesso ai sistemi (dei clienti) dell'azienda?

    
posta Matt W 07.12.2017 - 14:06
fonte

1 risposta

3

Questo rientra nell'ambito del Scopo del test e tutte le parti in un test di penetrazione dovrebbero anticipare la scoperta di dati protetti e credenziali private nel corso del test.

La tua aspettativa definita come cliente dovrebbe essere l'esplicita e ragionevole garanzia che tutti i dati raccolti e le credenziali dei social media saranno utilizzati entro i confini dell'ambito e resteranno privati e sotto la custodia della penetrazione tester per la durata e un periodo di tempo stabilito dopo il completamento del test e unicamente allo scopo di documentare i risultati.

Se il TUO particolare ambiente consente a un dipendente di accedere ai materiali aziendali tramite le proprie credenziali di social media personali, ALLORA SÌ, dovresti includerlo nell'ambito del coinvolgimento. I pentesters non dovrebbero fare nulla di illegale contro il fornitore di social media e speriamo che lo sappiano già!

Una clausola esplicita di distruzione effettiva dei dati raccolti, delle credenziali private e di tutti i "trofei" e di qualsiasi altro materiale interno che avanzi o che cattureranno verrà distrutta non più tardi di una data concordata e con un ben noto e il settore ha accettato il metodo di cancellazione dei dati della tua approvazione.

Non esiste un accordo contrattuale che isola il tuo pen tester da attività illegali, se si comportano in modo sciocco, illegale con quelle credenziali dei social media acquisite, saranno soggette alle conseguenze legali applicabili sia civili che criminali. Il cliente (VOI) non avrà voce in capitolo nel suo procedimento ... se mai qualcosa di simile si sia verificato.

    
risposta data 07.12.2017 - 15:59
fonte

Leggi altre domande sui tag