¿Cuáles son las formas buenas, seguras y no necesariamente anónimas de revelar vulnerabilidades?

1

Supongamos que se topa con una vulnerabilidad en algún sistema en línea, que es un producto comercial de una pequeña empresa de EE. UU. (de 1 a 50 empleados según Glassdoor). Ese sistema en línea se alojará para algunos clientes y se venderá a otros. La vulnerabilidad consistirá en el acceso no autorizado / la escalada de privilegios a través de la manipulación de URL, y permitirá que la información se filtre y se modifique, con la modificación de los datos una amenaza bastante teórica que se detectaría fácilmente: el problema principal es la filtración de datos confidenciales. Es razonable suponer que la empresa no querría que este problema se hiciera público. El proveedor no parece tener un programa de recompensas por errores.

No querrías explotar esta vulnerabilidad. Por el contrario, querrá asegurarse de que esta vulnerabilidad esté solucionada. Específicamente, querrá asegurarse de que los sistemas de los clientes estén actualizados y que los clientes estén informados sobre el potencial de fugas anteriores. (Esto último es difícil de detectar sin divulgación pública).

Idealmente, también agradecerías algún reconocimiento (no necesariamente dinero, tal vez algo que poner en tu CV vaya bien); idealmente, le agradecerían públicamente por encontrar y reportar la vulnerabilidad, junto con una divulgación pública. Obviamente, usted no haría que los pagos monetarios fueran una condición para la divulgación --- compare ¿Exige una" donación "antes de revelar las vulnerabilidades del comportamiento de black hat?

Entiendo que contactar con los clientes no sería lo ideal, por decir lo menos --- comparar contactando con clientes de software vulnerable, ¿está mal?

También entiendo que en los EE. UU. (suponga que no está basado en EE. UU., pero que tal vez quiera viajar allí), incluso la modificación de una URL puede considerarse ilegal --- compare ¿En qué punto se convierte en ilegal el "pirateo"? (EE.UU.) . Por lo tanto, es posible que uno no quiera ponerse en contacto con la compañía con un nombre real, al menos para comenzar.

Entonces, ¿cuáles son las formas buenas y seguras? Las siguientes soluciones alternativas vinieron a mi mente (estas son cuatro ideas individuales, no cuatro pasos de una idea):

  1. Escriba un correo electrónico anónimo (a través de Tor, etc.)

  2. convenza a la compañía de que un programa de recompensa de errores fue lo mejor para ellos. Espere a que comience, luego revele a través del programa de recompensas de errores. Esto tendría el beneficio de al menos alguna protección legal para la parte reveladora, tal como yo lo entiendo.

  3. Revele a través de openbugbounty.org . Divulgar públicamente después de 90 días.

  4. Reserve un CVE para probar más tarde que uno es el revelador.

Algunas preguntas relacionadas con las ideas anteriores (puedo dividirlas en preguntas individuales si la gente piensa que esto tiene sentido):

  1. Me encontré con este comment , que me suena mal:
  

En la extorsión, el pago es principalmente para no divulgar públicamente la vulnerabilidad, no tanto para su divulgación privada. Si solo pidiera dinero para la divulgación privada sin amenazar con explotarlo o divulgarlo públicamente, no lo consideraría una extorsión.

¿Es esta una opinión aceptada?

  1. ¿Cómo se haría eso sin parecer extorsivo? ¿Se puede divulgar públicamente si el programa de recompensa de errores no implica la divulgación pública por parte de la empresa?

  2. ¿Está disponible para usar en cualquier sitio web o solo sitios web participantes?

  3. ¿Entonces qué?

pregunta bers 20.08.2018 - 16:24
fuente

1 respuesta

1

Yo diría que si está reteniendo esta información para recibir el reconocimiento, estará en esto por las razones incorrectas

Comuníquese con su CERT local y pídales que lo ayuden a hacerlo a través del proceso de divulgación. De esta manera, debe estar protegido de la compañía y el CERT debe tener un proceso para manejar la divulgación responsable entre las dos partes.

Si desea obtener un reconocimiento, deberá hablar directamente con la compañía o verificar si tienen un security.txt ubicado en su sitio con información relevante.

No obtendré un CVE emitido para un solo sitio web, me temo.

    
respondido por el McMatty 21.08.2018 - 01:47
fuente

Lea otras preguntas en las etiquetas