Cómo manejar los problemas de seguridad del sitio web de otra persona

19

Hace unas semanas, descubrí que alguien ha publicado los detalles de la cuenta de administrador de un determinado sitio web en una wiki pública por error. Cuando descubrí que los datos eran reales (es decir, podía iniciar sesión en su sitio web gestionado por Wordpress), inmediatamente hice lo siguiente: Eliminé los datos confidenciales de esa wiki, le pedí al administrador de la wiki que eliminara de forma permanente todas las revisiones de esa página y le escribí un correo electrónico para informarle al respecto y pedirle que cambie su contraseña lo antes posible.

Para empeorar las cosas, el problema de seguridad no solo afecta a su sitio web, sino también a los datos personales de sus casi 2000 usuarios. Para colmo, el sitio web trata sobre la organización de eventos de TI de alto perfil (incluidos los eventos sobre seguridad de TI).

Ahora han pasado tres semanas y nada ha ocurrido (es decir, ni recibí una respuesta ni el administrador cambió la contraseña). Si yo fuera el administrador, sé lo que debe hacerse. ¿Pero cómo manejar esta situación cuando el administrador no maneja el problema profesionalmente? Hasta ahora, solo les envío un segundo correo electrónico hoy.

Puedo pensar en tres cosas que hacer, pero no estoy seguro de si estoy legalmente en el lado seguro aquí.

  1. Envíe un correo electrónico a todos los usuarios para informarles sobre el problema.
  2. Escriba una publicación de blog en su página de inicio como "Este sitio web se ha comprometido". (Estoy muy tentado de hacer eso. Creo que es moralmente bien, ya que no cambiaría nada más y creo que su base de usuarios necesita saber sobre el problema. Pero no estoy seguro de si podría estar en problemas si lo hiciera. eso?)
  3. Informe a la Comisión Federal de Comercio al respecto. (El sitio web está ubicado en los EE. UU.)

¿Tiene algún consejo sobre lo que estoy legal y moralmente permitido y obligado a hacer?

    
pregunta selfthinker 25.06.2011 - 11:33
fuente

2 respuestas

14

Para obtener asesoramiento legal, debe buscar un abogado. En algunos países ya es ilegal hacer un inicio de sesión "de prueba" con una cuenta que no le pertenece.

¿Qué haría?

Si el departamento de TI no responde y no soluciona el problema, debe intentar llegar a otras personas en la empresa , especialmente a la alta gerencia, las relaciones públicas, la relación con el cliente y el soporte de alto nivel.

Comuníquese con el CERT que es responsable de usted o de esa compañía. Tienen mucha experiencia en llamar la atención de las personas adecuadas. Entonces, en este caso, CERT de EE. UU. .

Los moderadores de la lista de correo de Bugtraq también han sido útiles.

Otras ideas

Correo en papel puede atraer más atención más fácilmente que el correo electrónico, especialmente si es un correo en papel con confirmación de entrega.

Puedes intentar contactarlos por teléfono . Esta es probablemente la forma más eficiente, pero tenga cuidado de que no puedan afirmar más adelante que intentó chantajearlos.

Puede decirles que intentará llegar a ellos a través de los medios públicos en xxxx-xx-xx (dentro de 2 semanas) como último recurso si no puede comunicarse con ellos. Pero nuevamente, deje muy claro que solo desea una confirmación de que su informe ha sido recibido.

Puede comunicarse con los medios de comunicación de inmediato , y quizás esté de acuerdo con ellos de antemano en que se comuniquen con esa compañía antes de publicar la historia.

Seguramente no deberías abusar de la cuenta de administrador para cambiar ningún contenido en su sitio web, incluida la publicación de un blog.

Si se publica públicamente en su blog, en su página de usuario en ese wiki, lo haría en forma de carta abierta : una breve introducción que dice que toda su Los intentos de llegar a la compañía han fracasado hasta el momento, por lo tanto, está publicando esta carta con la esperanza de que finalmente la empresa lo note. Tal vez agregue que ha decidido hacerlo público porque se siente presionado éticamente para advertir a las personas que los datos personales están en riesgo. Y luego el correo electrónico original. Puede ser una buena idea redactar los detalles (por ejemplo, la contraseña y el nombre de la página wiki si todavía está en el historial).

    
respondido por el Hendrik Brummermann 25.06.2011 - 13:00
fuente
8

En este caso, estaría tentado de invocar Navaja de Hanlon: nunca atribuya a la malicia lo que se explica adecuadamente por la estupidez. Probablemente no sean malvados, es posible que solo tengan esa cuenta de administrador dirigida a un diseñador / empleado web externo que dejó la empresa / alguna otra cuenta de correo electrónico no monitoreada.

Mis sugerencias serían:

  • Llámelos por teléfono e intente comunicarse con alguien en la administración, y dígales en un lenguaje sencillo y sencillo cuál es el problema.

  • Aquí, en Escandinavia, tenemos un registro público de empresas y fundaciones, etc. Se puede acceder a este registro en línea y se pueden encontrar las direcciones de los miembros de la Junta Directiva. Si puede hacer lo mismo, llámelos o envíeles una carta (correo en papel) que explique el problema y que ha intentado dos veces llegar al webmaster. Esto sin duda debería llamar su atención.

Independientemente de cuáles sean sus sentimientos personales, no creo que una humillación pública sea la respuesta correcta. No es que me importe avergonzarlos por sus actos; es más que eso:

  • Una pantalla pública podría invitar a personas malas a poner en peligro sus sistemas aún más antes de que estos tipos limpien su seguridad.
  • El propietario del sitio puede verse tentado a culparte agresivamente, para desviar la atención de sus propios errores ( aquí hay un ejemplo de eso. ).
respondido por el Jesper Mortensen 25.06.2011 - 13:05
fuente

Lea otras preguntas en las etiquetas