Come comunicare i problemi di sicurezza riscontrati su una piattaforma di banking online?

Question

Come comunicare i problemi di sicurezza riscontrati su una piattaforma di banking online?

#1 da (3 voti)
#2 da (0 voti)
#3 da (0 voti)

-2

Di tanto in tanto, ho prodotto (e riprodotto) l'HTTP 500 Internal Server Error su una piattaforma di banking online - piuttosto famoso. Suppongo che gli errori siano dovuti a bug nel back-end, probabilmente a vulnerabilità della sicurezza.

Come posso rendere pubbliche queste informazioni, senza compromettere una piattaforma utilizzata da migliaia di persone?

Dal mio punto di vista, comunicare semplicemente questo al team di sviluppo della banca è insufficiente; Mi piacerebbe essere sicuro che sottopongano la piattaforma alla valutazione della vulnerabilità.

audit web-application banks known-vulnerabilities

posta Igor 02.05.2014 - 12:30

fonte

3 risposte

Leggi altre domande sui tag audit web-application banks known-vulnerabilities

Decodifica dei dati [chiuso] Backdoor e nomi utente e password hardcoded

score 3 · Answer 1

Un errore di 500 server potrebbe suggerire che hai fatto qualcosa che gli sviluppatori non si aspettavano, ma ciò non significa che ci sia una vulnerabilità. Forse emette solo un messaggio di "tentativo di hacking evitato" nel registro e ti dà un errore non descrittivo per non fornirti alcuna informazione utile.

Quando sei convinto che il software non sia sicuro, potresti diffondere alcuni FUD online sul software e le banche che li utilizzano, ma qualsiasi reazione che scateni sarebbe una lettera di cessazione e di smarrimento per calunnia. A meno che tu non abbia un exploit funzionante che dimostra che esiste una vulnerabilità, nessuno ha una ragione per credere di averne davvero trovato uno.

Ma cercare di trovare e utilizzare un simile exploit su un sistema di produzione che non possiedi può essere un atto criminale in molte parti del mondo e può portare a gravi problemi legali. Quando si desidera eseguire test di penetrazione su un software, è necessario impostare la propria istanza privata. Quando il software non è liberamente disponibile, questo può essere piuttosto difficile da fare.

Informare gli sviluppatori che potresti aver trovato un bug nel loro software è davvero tutto ciò che puoi fare. Quando credono che il bug non sia sfruttabile e difficilmente possa essere attivato da un utente normale e quindi non valga la pena risolverlo, è la loro decisione.

score 0 · Answer 2

Non puoi rendere pubblica una vulnerabilità e aspettarti che in qualche modo non venga sfruttata. Devi dire alla banca di qualsiasi vulnerabilità che hai trovato e dare loro l'opportunità di risolverlo. Se non lo risolvono, rendere pubblico il problema è un modo possibile di nominarli e svergognarli per correggere il problema, ma generalmente è considerato un'ultima opportunità.

Per quanto riguarda il modo in cui la banca lo aggiusta, questo è il loro problema, non il tuo.

score 0 · Answer 3

Direi semplicemente di contattare l'assistenza clienti e menzionare che hai riscontrato un errore e postare una schermata di stampa. In base a ciò che hai descritto, non penso che tu abbia una prova sufficiente di una reale vulnerabilità, quindi non penso che tu abbia davvero l'obbligo di assicurarti che lo risolvano secondo le tue aspettative.

Suppongo che dipenda dal paese, ma sarei anche molto sorpreso se fornissi loro una schermata di stampa con una traccia di stack o simile al loro servizio di assistenza clienti e non venisse immediatamente trasferito al loro team di sicurezza. Le banche tendono a prendere molto sul serio la sicurezza ed è nel loro interesse investigarla a fondo.