Hace poco noté un informe de prueba de penetración en el que el incumplimiento de la ley de cookies de la Unión Europea (UE) se declaró como un hallazgo en una categoría "otros". Considero que esto es más un asunto legal, relacionado con la privacidad y no tanta seguridad.
¿Por qué estaría esto en un informe de prueba de penetración? ¿Hay posibles inquietudes relacionadas con la seguridad de las que no tengo conocimiento?
No conozco ningún impacto técnico en la seguridad relacionado con no cumplir con las leyes de cookies de la UE.
En última instancia, creo que esto se debe principalmente a la discreción del asesor y al contexto de la evaluación. Los problemas de privacidad son adyacentes a la seguridad y vienen con impactos de RP similares, e incluso se puede juzgar que infringen los derechos de las personas, por lo que creo que en algunos casos estos hallazgos pueden ser útiles.
Para mí, la pregunta no es tanto si estas cosas deben informarse al cliente, sino si deben estar o no en el informe de Pentest. Hay otros canales de comunicación que pueden usarse para transmitir esta información. Es posible que se haya discutido esto y que el cliente haya pedido que se incluya en el informe. Incluso podría ser que las preocupaciones de cumplimiento fueran uno de los factores clave para que la evaluación se realizara en primer lugar. Algunos ámbitos incluyen explícitamente buscar hallazgos que puedan avergonzar a la empresa o sus asociados (la inyección de contenido es divertida aquí).
He informado de todo, desde problemas de funcionalidad a errores tipográficos (aunque graves con consecuencias vulgares) a clientes cuando realizan trabajos de prueba, cuando corresponde, porque en última instancia mi trabajo es ayudar a mejorar su sistema. No creo que esté mal incluir este tipo de cosas en un informe porque siempre se puede eliminar y archivar por separado a solicitud del cliente.
Una vulnerabilidad es algo que te deja abierto a la posibilidad de ser dañado. Ser procesado o demandado por violar la ley es una forma de daño. Por lo tanto, no cumplir con la ley es una vulnerabilidad. Realmente es así de simple.
Este es un problema de seguridad para los usuarios.
El incumplimiento de las leyes relacionadas con las cookies incluye que los datos de las cookies se están construyendo sobre usted mientras se encuentra en el sitio, después de haber hecho clic en "inhabilitar". Si el sitio no reconoce el GDPR (leyes de privacidad), se está filtrando en el dominio del sitio algún grado de información de identificación personal del usuario. , almacenados, y utilizados en formas que equivalen a seguimiento. Esto incluye:
Las cookies son una cosa obvia para probar, y es quizás la única forma confiable de probar el seguimiento, ya que las técnicas de back-end serían invisibles a menos que una función de personalización específica permanezca consistente en todas las visitas de página
Para algunos organismos de los que formé parte, algunos abogados argumentan que las cookies no son ilegales siempre y cuando no conecten los datos de la sesión con un identificador personal.
En cualquier caso, este sería un vector probable de errores o tergiversación, y por lo tanto, espero que aparezca en un informe relacionado con la seguridad del usuario.
tl;dr: la gente no entiende que la privacidad del usuario es un problema de seguridad para el usuario .
El incumplimiento de la ley significa que el sitio debe ser arreglado. El GDPR en particular no es una ley "opcional" en la que puede aceptar las multas por un incumplimiento.
Por lo tanto, es probable que el sitio deba ser arreglado. Pero los plazos de GDPR son ajustados. Muchas empresas se han dado cuenta de que necesitan comenzar temprano. Para otros, como este caso, será un trabajo apresurado. Y la experiencia con los trabajos urgentes es que, en el mejor de los casos, obtiene lo que se solicita. Por lo tanto, es posible que los cambios de última hora en el sitio no pasen por una extensa revisión de seguridad, ya que el cumplimiento con GDPR tiene prioridad.
Como ejemplo, el GDPR otorga a los clientes el derecho de revisar sus datos propios . Una implementación apresurada puede otorgar a los clientes el derecho de revisar otros datos, incluidos datos confidenciales de la empresa y datos de otros clientes. Ese es un problema de seguridad definido. Por lo tanto, la necesidad de apresurarse con el cumplimiento de GDPR se identifica correctamente como un factor de riesgo.
Lea otras preguntas en las etiquetas penetration-test cookies legal compliance