Pruebas de penetración corporativa / phishing [cerrado]

2

Si una empresa emplea a una empresa de seguridad para "piratear" sus sistemas y acepta permitir que esta empresa de seguridad envíe correos electrónicos falsos de phishing a los empleados ...

... es esa compañía (o la compañía de seguridad) legalmente responsable si, en el proceso de caer en uno de los correos electrónicos de suplantación de identidad (phishing), un empleado ingresa las credenciales de las redes sociales personales que luego se usan (tal vez a través de un registro en una empresa ajena a la empresa). sistemas) para obtener acceso a los sistemas de la empresa (del cliente)?

    
pregunta Matt W 07.12.2017 - 14:06
fuente

1 respuesta

3

Esto está incluido en Ámbito de prueba y todas las partes en una prueba de penetración deben anticipar el descubrimiento de datos protegidos y credenciales privadas en el curso de la prueba.

SU expectativa definida como cliente debe ser la garantía explícita y razonable de que cualquier información recopilada y credenciales de redes sociales se utilizarán dentro de los límites del alcance y permanecerán privadas y bajo la custodia de la penetración evaluadores para la duración y un período de tiempo establecido después de la finalización de la prueba y únicamente con el propósito de documentar los resultados.

Si SU entorno particular le permite a los empleados acceder a materiales corporativos a través de sus credenciales personales de redes sociales, ENTONCES SÍ debe incluirlos dentro del alcance del compromiso. ¡Los pentesters no deberían hacer nada ilegal contra el proveedor de redes sociales y espero que ya lo sepan!

Una cláusula explícita de destrucción efectiva de sus datos recopilados, credenciales privadas y todos los "trofeos" y cualquier otro de sus materiales internos que los avance o capturen se destruirá a más tardar en una fecha acordada y con un conocido y el método de borrado de datos aceptado por la industria de su aprobación.

No hay ningún acuerdo contractual que aísle a su examinador de la pluma de actividades ilegales, si se comportan de manera tonta e ilegal con las credenciales de redes sociales capturadas, estarán sujetos a las consecuencias legales aplicables, tanto civiles como penales. El cliente (USTED) no tendrá voz en su procesamiento ... si algo así ocurriera alguna vez.

    
respondido por el 123456789123456789123456789 07.12.2017 - 15:59
fuente

Lea otras preguntas en las etiquetas