Soy de Canadá y me gustaría saber una cosa. Conozco un error en un sitio web. No estoy seguro de si es legal buscar errores en un sitio web y NO usarlos; en cambio, cuéntale a su compañía al respecto.
Es legal informarles sobre el error, dándoles una descripción detallada del error y cómo lo descubrió.
Lo que es impredecible es la reacción de la compañía. Podría variar según el hecho de que le envíen una recompensa / un pequeño obsequio (me ha sucedido), a los que tratan de enjuiciarlo como a un delincuente (informarlos de forma anónima podría ayudar con este problema). Si el error compromete el sitio web y su información, deje en claro que no ha utilizado el error de esta manera.
Si tiene el conocimiento, intente hacer sugerencias sobre cómo corregir el error, para aclarar aún más a la compañía que está tratando de ayudarlos (algo que yo también hice).
Nota importante: si la empresa se niega a reconocer la vulnerabilidad, not busca la forma de explotarla y obtener atención. Es muy probable que esto resulte en una acción legal contra usted .
En Canadá parece que estás a salvo ... for now . En cualquier otro lugar, depende de si, por "errores de búsqueda", quiere encontrar vulnerabilidades en el sitio de alguien que podría violar sus Términos y condiciones de uso del sitio web (por ejemplo, Pruebas de penetración).
Hay varias formas de hacerlo, dependiendo de la reacción de la persona que recibe el correo electrónico, cómo está redactado el mensaje y los pasos declarados para reproducir el problema.
Ejemplo típico educado legal:
Estimados señores,
A través de la navegación normal, encontré un exploit en tu sitio web. Eso puede comprometer su servidor. Yo trabajo en la industria de TI y noté que esta página
http://www.somesite.com/somepageestá causando<list exploit here>que podría comprometer la integridad del sitio. yo Disfrute usando su sitio y pensé que le llevaría esto a su atención.Saludos cordiales,
-ArtDesire
Es posible que lo siguiente no se interprete como legal:
A veces, la presentación lo es todo y, si bien las personas pueden tener las mejores intenciones, probar las vulnerabilidades o reconfirmar una vulnerabilidad podría tomarse de la manera incorrecta. Por lo general, este no es un buen ejemplo legal porque le permite a los administradores del servidor saber que sus Términos de Servicio han sido violados por lo menos por la persona que envía el aviso:
Yo Dudes,
Estaba probando totalmente este nuevo script que encontré en línea y Vio que alguien podría totalmente pwn su servidor estar siguiendo este enlace %código%. Quizás quieras revisarlo. Solo lo probé un par de veces.
Buena suerte,
-ArtDesire
La prueba activa de exploits en el sitio de otra persona es definitivamente ilegal en algunos municipios. Los servidores mantienen los registros de acceso, por lo que si algo cuestionable ha ocurrido y luego se notifica a los administradores, es posible que se muestre una marca cuando regresen a los registros. Luego pueden usar cualquier información en el correo electrónico (incluidos los encabezados) y cualquier cosa a la que tengan acceso directamente para intentar rastrear lo que sucedió. Las cookies de seguimiento en la máquina cliente pueden usarse como evidencia en una investigación.
Una vez que se inicia una investigación, las acciones dependen de las leyes con respecto a la ubicación del servidor (control físico), las leyes del país en el que reside el servidor, el mantenedor del servidor (que es responsable de la contenido del servidor en algunos países) y políticas de extradición basadas en si es culpable hasta que se demuestre lo contrario o viceversa.
Si se encuentra un error (por ejemplo, el código que se derrama en la página), normalmente no es ilegal avisar a alguien.
La mayoría de los sitios en los que he tratado de informar a alguien sobre un exploit generalmente terminan con una respuesta enlatada, algo como:
"Usamos los mejores programadores del mundo y no sabes qué estas hablando de. Si hubo un problema estamos seguros que los programadores Saberlo y estamos trabajando en ello ".
o dirán:
"El problema que ha encontrado es probable que sea un problema con su computadora. Nosotros no puedo garantizar que todos tengan la misma experiencia de navegación ".
Muchos sitios web tienen un descargo de responsabilidad que le prohíbe realizar pruebas de seguridad en su sitio web.
Por lo tanto, si realmente quieres hacerlo, te sugiero que reportes el error de forma anónima y, como han dicho otros, asegúrate de mencionar que solo has hecho esto para ayudarlos.
Me gustan algunas de las respuestas aquí, pero pensé mencionar otra posibilidad: divulgación a través de un representante legal . No estoy diciendo que esto valga la pena, pero puede funcionar en una situación en la que no desea revelar ninguna información que pueda llevarlo a identificarlo (inspeccione los registros del servidor para ver si la actividad coincide como lo menciona @ AbsoluteƵERØ en su respuesta). o revelar su identidad más adelante al intentar notificar al propietario respectivo del servidor web).
En cierto sentido, su representante legal estaría probando los motivos , e incluso podría llegar a un acuerdo sobre los términos de divulgación no relacionados con el procesamiento. Luego puede decidir continuar con la divulgación detallada que podría ayudar al propietario a mitigar cualquier vulnerabilidad potencial, o simplemente retirarse, si no tiene motivos para confiar en el propietario, teme ser procesado o su representante legal se lo aconseja. . Esto generalmente se conoce como decisión táctica informada en la lengua legal (obviamente no soy un abogado).
El representante legal está obligado a proteger sus intereses y no puede ser obligado a divulgar ninguna información incriminatoria ni a revelar su identidad, a menos que se presuma una amenaza clara para la vida o un nivel de peligro similar (según las leyes locales). Estas leyes son relativamente similares en la mayoría de las democracias, aunque no las conocería específicamente para Canadá. Sin embargo, no debería costarle nada preguntar directamente a un abogado, el asesoramiento legal suele ser (y debería ser) gratuito, mientras que el costo de manejar el protocolo de divulgación acordado puede ser cubierto por la parte beneficiaria de la divulgación (el propietario).
De todos modos, solo pensé que vale la pena mencionar esta opción. Si considera que está demasiado involucrado y requiere mucho tiempo, le sugiero que siga las sugerencias de quienes respondan que entienden que podría tener problemas y sugiera a qué prestar atención y cómo abordar este problema. Al ver esta pregunta suficientemente cubierta antes de mi respuesta, no quería repetir los puntos ya mencionados.
Editar para agregar : una cosa no está particularmente clara, pero podría limitar nuestra capacidad de dar una respuesta más significativa y relevante. ¿Qué quiere decir exactamente con "encontrar errores" ? ¿Se topó con ellos por casualidad? Con el uso normal de su sitio web, sabe que algún error es explotable. y lo que haya hecho para aprender sobre ellos lo puede repetir cualquier otro ToS que respete al usuario, ¿o ha estado buscando / buscando activamente errores y vulnerabilidades? Este es el factor más decisivo de la OMI, ya sea que pueda divulgar los hallazgos sin temor a ser procesados, o si debe tomar precauciones (como ya se mencionó en otras respuestas).
Probablemente depende de cómo lo encontraste. Si es algo que encontró casualmente al usar el sitio, es probable que no pueda hacer nada si se lo informa a la compañía. Si estuvieras buscando errores y tratando activamente de encontrar problemas, entonces podría ser una historia muy diferente.
Puede variar según las leyes locales, pero en general, el núcleo del problema se basa en si estaba usando el sistema de la forma en que pretendía que se usara cuando se encontró el error. Si estaba usando el sitio correctamente y lo encontró, entonces debería estar bien.
Si estaba viendo qué información extraña podría poner y encontró una manera de obtener una respuesta no válida, entonces podría estar en problemas a menos que tengan un programa establecido de búsqueda de errores en el que hayan pedido a las personas que intenten encontrar problemas en sus sistema.
Si no está claro si tienen un programa de búsqueda de errores como este, una posible forma de abordarlo es contactándolos y preguntándoles si les importa si hicieron algunas pruebas del sitio y les proporcionaron sus conclusiones. Si te piden que no lo hagas, entonces no les digas sobre el error. Si dicen bien, espere un par de días y luego hágales saber lo que encontró.
Depende de lo que quieras decir con error. Si lo que quiere decir es uno que podría ser explotado para causar daño o acceso a un servidor, entonces en los EE. UU. Probablemente se encontraría ilegal bajo Ley de abuso y fraude informático . Varios hackers de sombrero blanco han sido arrestados en los EE. UU. Aunque no causaron ningún daño Vea este artículo y observe a Adrian Lamo .
Parece que podría ser ilegal según el código penal de Canadá en la sección 342.1 .
Syb0rg ha mencionado que algunas compañías están de acuerdo con que encuentres errores y otras no.
Le aconsejaría que se ponga en contacto con la empresa primero y le solicite su permiso. De esa manera, evitará cualquier problema legal que no haya visto.
En realidad, dependería completamente de los términos de su uso del sitio. Si el sitio dice que no puede realizar ningún tipo de prueba de seguridad y usted lo hace, puede que se encuentre en violación de la CFAA (18 USC § 1030 (a) (2) (c) en particular) (asumiendo que usted o el sitio está en los EE. UU.) Que puede presentar cargos por delitos graves y tiempo en la cárcel. Dicho esto, casi todos los usuarios de Internet están violando la ley CFAA, pero muy pocas personas son castigadas por ello, por lo que realmente depende de cómo reaccionará la empresa en cuestión y de cuánto poder político pueden hacer. Además, hay una diferencia entre encontrar un error a través del uso normal y realmente buscar errores, por lo que también puede depender de los términos de los sitios web.
Pero, para que estemos totalmente preocupados por la legalidad, tendríamos que contratar abogados. Por ejemplo, ¿existe algún tipo de buena protección samaritana? Quizás en su jurisdicción pero no en el sitio donde se hospeda el sitio. En tal caso, ¿qué ley se aplica?
En conclusión, las leyes son demasiado complejas para una conclusión simple, y aunque yo y otros que conozco estarían agradecidos por la ayuda para solucionar cualquier problema, no puedo hablar por el propietario del sitio web en cuestión.
Lea otras preguntas en las etiquetas disclosure legal