Quali sono i modi buoni, sicuri, non necessariamente anonimi per rivelare le vulnerabilità?

1

Supponiamo che ti imbatti in una vulnerabilità in qualche sistema online, che è un prodotto commerciale di una piccola azienda statunitense (da 1 a 50 dipendenti secondo Glassdoor). Tale sistema online deve essere ospitato per alcuni clienti e venduto ad altri. La vulnerabilità deve consistere nell'accesso non autorizzato / escalation dei privilegi tramite manipolazione di URL e deve consentire la fuga di informazioni e la modifica, con la modifica dei dati una minaccia piuttosto teorica che sarebbe facilmente rilevabile: il problema principale è la perdita di dati sensibili. È ragionevole presumere che la società non voglia che questo problema diventi pubblico. Il venditore non sembra avere un programma di bug bounty.

Non vorresti sfruttare questa vulnerabilità. Al contrario, vorresti assicurarti che questa vulnerabilità sia corretta. Nello specifico, vorrai assicurarti che i sistemi dei clienti siano aggiornati e che i clienti siano informati sul potenziale delle perdite passate. (Quest'ultimo è difficile da rilevare senza divulgazione pubblica.)

Idealmente, accetterei anche qualche riconoscimento (non necessariamente denaro - forse qualcosa da mettere nel tuo CV va tutto bene); idealmente, ti piacerebbe essere ringraziato pubblicamente per aver trovato e segnalato la vulnerabilità, insieme a una divulgazione pubblica. Ovviamente, non renderei i pagamenti monetari una condizione per la divulgazione --- confronta richiede una" donazione "prima di rivelare il comportamento dei black hat delle vulnerabilità?

Capisco che contattare i clienti non sarebbe l'ideale, a dir poco --- confrontare Contattare i clienti di software vulnerabili, è sbagliato?

Comprendo anche che negli Stati Uniti (supponiamo che tu non sia statunitense, ma potresti voler viaggiare lì), anche la modifica di un URL può essere considerata illegale --- confronta A che punto "l'hacking" diventa illegale? (US) . Pertanto, si potrebbe non voler voler contattare l'azienda con un nome reale, almeno per cominciare.

Quindi, quali sono i modi buoni e sicuri? Mi sono venute in mente le seguenti soluzioni alternative (si tratta di quattro idee individuali --- non di quattro passaggi di un'idea):

  1. Scrivi un'email anonima (tramite Tor ecc.).

  2. Convinca la compagnia che un programma di bug bug è stato nel loro migliore interesse. Aspetta che inizi, quindi divulga attraverso il programma di bug bounty. Ciò avrebbe il beneficio di almeno una certa protezione legale per la parte divulgante, come ho capito.

  3. Svela attraverso openbugbounty.org . Rivelare pubblicamente dopo 90 giorni.

  4. Prenota un CVE per dimostrare successivamente che uno è il divulgatore.

Alcune domande relative alle idee di cui sopra (potrei suddividerle in singole domande se la gente pensa che abbia senso):

  1. Mi sono imbattuto in questo commento , che mi sembra sbagliato:

In extortion the payment is mostly for not publicly disclosing the vulnerability, not so much for its private disclosure. If you would just ask money for private disclosure without threatening exploiting it or public disclosure, I would not think of it as extortion.

Questo è un parere accettato?

  1. Come si farebbe senza apparire estorsionista? Si può rivelare pubblicamente se il programma di bug bug non implica la divulgazione pubblica da parte dell'azienda?

  2. È disponibile per qualsiasi sito web o solo per siti web partecipanti?

  3. Allora cosa?

posta bers 20.08.2018 - 16:24
fonte

1 risposta

1

Direi che se stai trattenendo queste informazioni per ricevere il riconoscimento, ci si trova in questo per motivi sbagliati

Contatta il tuo CERT locale e fagli aiutare attraverso il processo di divulgazione. In questo modo dovresti essere protetto dalla società e il CERT dovrebbe avere un processo per gestire la divulgazione responsabile tra le due parti.

Se desideri un riconoscimento, dovrai parlare direttamente con la compagnia o controllare se hanno un security.txt che si trova sul loro sito con le informazioni pertinenti.

Non avrò un CVE emesso per un singolo sito Web, ho paura.

    
risposta data 21.08.2018 - 01:47
fonte

Leggi altre domande sui tag