¿Debería una prueba de vulnerabilidad automatizada realmente eliminar o modificar los datos en producción?

Navega tus respuestas
3

Contratamos a una empresa externa para realizar una prueba de vulnerabilidad en uno de nuestros sitios. En pocas horas, tuvimos problemas. Mesas enteras borradas y limpias. Tablas enteras eliminadas. Cientos de registros en otras tablas han desaparecido. Algunos datos de la tabla han sido modificados. Todo esto está en una base de datos ejecutando un sitio de producción LIVE.

Hemos utilizado la compañía en años anteriores sin problemas. Obviamente, el sitio tiene enormes agujeros de seguridad. Pero, aparte de eso, mi pregunta / preocupación es la siguiente:

  1. ¿Qué tan común es esto? Entiendo que ningún pentester puede garantizar que no levantarán algo, pero en realidad no he oído hablar de un escaneo automático borrar / modificar datos en la base de datos.
  2. ¿Debo preocuparme de que el software automatizado utilizado pueda ser realmente malicioso (irónicamente)?

Solo estoy buscando un poco de orientación / pensamientos / experiencias de otros sobre la situación.

    
pregunta Learning Security 04.11.2016 - 14:00
fuente

2 respuestas

4

1 Esto es bastante raro. Y cuando sucede, es altamente indeseable. Conozco pentesteros que han perdido clientes por muchos errores menos graves.

2 sí, definitivamente. La evidencia está ahí; soltar una tabla es algo sobre lo que tienes que ser muy explícito.

Buscaría en el acuerdo pentest que firmó. Cualquier contrato pentest debe tener un alcance claro definido, excluyendo los entornos de producción de las acciones que podrían afectarlos.

    
respondido por el J.A.K. 04.11.2016 - 14:27
fuente
0

Sí, puede y será demandado, y perderá, debido a la jurisprudencia, como - enlace

Todas las empresas de consultoría deben tener un seguro tecnológico con E & O (errores y omisiones) que cubrirá los honorarios de su abogado y de la corte cuando lo demanden por eliminar datos de producción durante una prueba de pluma.

¡Garantice calidad, seguridad, privacidad y seguridad en sus procesos!

    
respondido por el atdre 04.11.2016 - 21:25
fuente

Lea otras preguntas en las etiquetas

¿Dónde debo almacenar una clave privada para una aplicación web? ¿Cómo puedo verificar si algunos datos son realmente la contrapartida desencriptada de una secuencia de bytes?