¿Es legal "usar" las vulnerabilidades de seguridad [cerrado]

Navega tus respuestas
3

Entiendo que la respuesta a preguntas como esta depende del país, pero me gustaría tener una idea de cuál es el enfoque habitual en casos como este.

Aquí está el caso:
Encontré un agujero de seguridad en uno de los servicios gubernamentales.
La falla hace posible que cualquiera pueda descargar documentos que normalmente requieren la autorización del servicio afectado.
Hice algunas pruebas e hice un script que descarga un montón de cosas desde allí para probar qué tipo de problema de seguridad. En realidad fue.
No tengo ninguna intención de utilizar estos datos para fines ilegales.
También les avisé y debería arreglarse pronto.

Ahora las preguntas son:
¿Es ilegal la parte cursiva?
¿Sería ilegal para mí almacenar los datos y no eliminarlos?
¿Sería ilegal publicar los datos? (Asumo que sí)

Si la parte cursiva es ilegal, ¿cómo puede alguien encontrar y avisar al proveedor de servicios sobre el problema de seguridad, ya que informar sobre él revela que ha usado el agujero para hacer algo (en este caso solo para confirmar que existe)?

    
pregunta user2279356 24.07.2014 - 23:45
fuente

1 respuesta

3
  

Hice algunas pruebas e hice un script que descarga un montón de cosas   desde allí para probar qué tipo de problema de seguridad fue realmente.

En la mayoría de las jurisdicciones, es ilegal acceder a un sistema informático sin permiso. El hecho de que tenga problemas de seguridad no cambia eso. Consulte Ley de abuso y fraude informático .

  

"Si la parte cursiva es ilegal, ¿cómo puede alguien encontrar y dejar el servicio?   proveedor sabe sobre el problema de seguridad como contando al respecto revela que   has usado el agujero para hacer algo (en este caso solo para confirmar   que existe)? "

Solo puede buscar problemas de seguridad en el sistema si está autorizado para hacerlo. Algunos proveedores publicarán las recompensas de errores o las pautas de divulgación responsable que permiten que el público realice dichas pruebas.

    
respondido por el valentinas 25.07.2014 - 00:20
fuente

Lea otras preguntas en las etiquetas

¿Estoy entendiendo correctamente cómo detener un determinado ataque de fijación de sesión de OAuth2? ¿Es posible descifrar el tráfico HTTPS cuando ya existe un agente en el proxy central?