2000 Conjuntos de información personal

Navega tus respuestas
4

Así que la historia es así ...

Hace poco redescubrí un sitio web antiguo que solía visitar con bastante frecuencia, pero no podía recordar mi inicio de sesión. El sitio está mal hecho y no se ha actualizado en aproximadamente 5 años, así que probé una Inyección SQL simple para obtener acceso a mi cuenta anterior y he aquí que estaba. El problema es que yo (y cualquier otra persona con un poco de conocimiento de SQL) tiene acceso a ~ 2000 usuarios:

  • correo electrónico
  • Contraseña (simple / texto)
  • Nombre completo
  • Fecha de nacimiento
  • Mensajes privados

Así que hice lo correcto, envié un correo electrónico al propietario del sitio. Ha pasado más de un mes y no hay respuesta ni cambios en el sitio.

Mi pregunta es:

¿Qué debo hacer en esta posición? ¿Debo intentar eliminar el sitio de una manera "no tan legal"? Dudo que el propietario haga algo al respecto. Es un sitio antiguo con no más de 10 a 40 personas en línea a la vez, pero muchas personas reutilizan correos electrónicos y contraseñas, así que apuesto a que muchas de ellas podrían trabajar en otras cuentas más importantes.

    
pregunta b00n 01.05.2014 - 09:25
fuente

2 respuestas

4

StackExchange no es el lugar para el asesoramiento legal o ético. Sin embargo, aquí hay algunas posibles acciones (no le aconsejo sobre ninguna de ellas).

Primero, tenga en cuenta que puede haber violado la ley solo al acceder a esa información en primer lugar, pero eso es un hecho aparte.

Acciones que podrías tomar:

  • Nada, no hagas nada y simplemente aprende de esta experiencia. Asegúrese de que sus clientes no se expongan de esta manera.
  • Continuar intentando alertar a los propietarios. Una búsqueda whois le proporcionará los detalles necesarios. Incluso si se trata de un registro privado, el registrador (listado en leu del propietario real) tendrá registros del propietario y podrá acceder a ellos.
  • Además, puede informar de esto como una amenaza para el FBI si la vulnerabilidad no se corrige. ( enlace )
  • Otra idea sería alertar a cada persona en esa lista sobre el problema.
  • Aunque ciertamente podrías hacer cosas nefastas, no lo haría. Por un lado, este 'exploit' puede ser un honeypot o puede convertirse en el interés de una investigación.

Tenga en cuenta que probablemente no sea la primera persona en descubrir esta vulnerabilidad. Por lo tanto, los datos expuestos han estado allí por algún tiempo y, por lo tanto, incluso eliminándolos ahora no cambiaría el hecho de que ahora está comprometido.

Una vez más, no estoy aconsejando ningún curso de acción en particular.

Editar: Volví a leer tu pregunta. Parece que ya infringiste la ley realizando una inyección de SQL, así que tenlo en cuenta a la hora de tomar tu decisión.

Edit 2: Aquí hay dos enlaces más relevantes para reportar vulnerabilidades:

  • enlace (este es el enlace "vulnerabilidad de la web", también tienen otros)
  • enlace (esta es una ONG [organización no gubernamental) que hace lo mismo)
respondido por el Matthew Peters 01.05.2014 - 19:37
fuente
12

No haga absolutamente nada más con o en el sitio.

No empeore las cosas.

En muchas jurisdicciones es posible que ya haya cruzado la línea para no ser tan legal. (Por cierto, debería obtener asesoramiento legal de un abogado especialista en delitos informáticos en su jurisdicción sobre lo que ha hecho).

Ha notificado al propietario del sitio, por lo que lo felicitamos, y su abogado le pedirá un grito. Si lo ignoran, depende de ellos.

Por último, si ha utilizado esa contraseña en otro lugar, cámbiela inmediatamente.

    
respondido por el Graham Hill 01.05.2014 - 09:36
fuente

Lea otras preguntas en las etiquetas

¿Es posible que la extensión de la imagen sea propensa a errores para los navegadores? ¿Es necesario que el certificado del sitio web tenga una URL del sitio?