¿Cómo hacer que un sitio web parche su mala seguridad?

13

Estoy siguiendo una clase en línea de una institución local. Recientemente, he notado que no tienen contraseñas de hash porque me enviaron mi contraseña por correo electrónico en texto sin cifrar.

El sitio web tiene mucha información personal, por lo que he decidido probar qué tan seguro es.

Después de unos minutos de probar el sistema de mensajes privados, descubrí que puede ver, eliminar y responder a cualquier mensaje con cualquier nombre de usuario. Además, enviaron un mensaje a todos con su contraseña recientemente para que pueda ver la contraseña de todos. Los ataques XSS también son posibles.

He reportado las vulnerabilidades y aún no se ha revisado (solo ha pasado una semana, pero si fuera responsable de un sistema como este, no dormiría hasta que todo esté arreglado).

¿Cómo puedo hacer que aseguren su sitio web correctamente? Mi propia información personal también está en riesgo aquí.

(Para asegurarme de que no haya más respuestas relacionadas con eso, soy muy consciente de las leyes. No cambia el hecho de que algún día, alguien hará exactamente lo que hice pero con malas intenciones). / p>     

pregunta Simon 03.06.2013 - 17:14
fuente

2 respuestas

16

Por lo tanto, hay un par de opciones disponibles para usted, dependiendo del país en el que viva, pero primero una nota de advertencia.

Usted "probó" el sitio y luego informó sus hallazgos. En muchos países, si los propietarios de las aplicaciones quieren distinguir que los "piratearon", podrían hacerlo, y puede ser malo para usted. Digo esto solo para que pueda sopesar cuando esté considerando tomar otras acciones. Dejaré de lado cualquier cosa más legal sobre piratería, ya que se ha cubierto en otras respuestas.

Básicamente, las principales formas de lograr que aborden este problema sería informar a un organismo regulador o gubernamental que sea responsable de la protección de datos (por ejemplo, en el Reino Unido, el comisionado de información), ya que parece que no están tomando las medidas adecuadas. Medidas para proteger los datos personales que están procesando. Esto puede hacer que lo solucionen si el regulador se comunica con ellos con respecto al problema.

La otra opción sería intentar atraer una mala publicidad al sitio, publicando los detalles de la vulnerabilidad. Este puede tener el efecto deseado, pero tenga en cuenta que un posible efecto secundario es que podrían emprender acciones legales contra usted (nuevamente, dependiendo de la jurisdicción, su actitud hacia la seguridad, etc.)

    
respondido por el Rоry McCune 03.06.2013 - 18:11
fuente
3

" así que decidí probar cómo está su seguridad. " Y ahí estaba el punto en el que cruzaste la línea. A menos que tenga un permiso explícito para "probar" la seguridad, está violando la ley.

  

"Excede la autorización El término" excede el acceso autorizado "es   definido por CFAA para significar "para acceder a una computadora con autorización   y utilizar dicho acceso para obtener o alterar información en la computadora.   que el usuario no tiene derecho para obtener o alterar ". 18 U.S.C. §   1030 (e) (6) ".    enlace

Ahora comente su otro comentario: " Mi propia información personal también está en riesgo aquí. " Solicite que se eliminen sus datos, ya que no desea estar en un sistema inseguro. Sin embargo, como dije inicialmente, a menos que tenga un permiso explícito para probar su sitio, me mantendría lejos de hacerlo.

Voy a editar mi comentario. Aunque publiqué información sobre las leyes de los Estados Unidos, esto se debe a que soy de los Estados Unidos. No he visto otros países donde las pruebas sin permiso no sean legales. Para responder a su edición, Simon: " No cambia el hecho de que algún día, alguien hará exactamente lo que hice pero con malas intenciones " Esto es completamente irrelevante. ¿Por qué romper cualquier ley para probar un punto? Si está tan en contra de tener su información almacenada en ese servidor, haga que la eliminen.

Si bien su idea inicial es que está "ayudando" a aquellos con información publicada al exponer el riesgo (también puede estarlo), ha habido casos en que la exposición de "fallas" tiene condenado a la cárcel tiempo . Puede ponerse en contacto con quien sea responsable de su servidor; si eso no funciona, puede comenzar a enviar CC a otros en la misma empresa / institución, tal vez eso ayude. Si está en los EE. UU., Puede intentar que esto se solucione a través de CERT . Si está en otro país, puede intentar encontrar el CERT de ese país.

    
respondido por el munkeyoto 03.06.2013 - 17:27
fuente

Lea otras preguntas en las etiquetas