Dónde reportar fugas de datos de tarjetas de crédito y teléfonos

Navega tus respuestas
12

No estoy seguro de si esta es la comunidad correcta para publicar esto. Por favor, indíqueme la dirección correcta, si no.

Recientemente descubrí que mi proveedor de servicios celulares (un MVNO) tiene una API no autenticada que devuelve (entre otras cosas) la información de mi tarjeta de crédito (nombre, número, fecha de caducidad, dirección, CVV), contraseñas con hash y números de cuenta y el número de ESN de mi teléfono Algo como esto:

Solicitar 

curl --data "phone=1234567890" https://example.com/api/getdata

Response

Tenga en cuenta: He eliminado muchos datos y he cambiado el nombre de las claves. Había muchos más campos que no parecían muy importantes. 

"account": {
  "phoneNumber": "1234567890",
  "ESN": "1111111111111111111",
  "startDate": "01/01/2010 00:00:00",
  "payment": {
    "card": "1111111111111111",
    "CVV": "111",
    "name": "My Name",
    "expMonth": "01",
    "expYear": "2021",
    "street": "111 Example Street",
    "zip": "11111"
  },
  "accountNumber": 11111111,
  "balanceEndDate": "01/01/2020 00:00:00",
  "balance": 0,
  "status": "Active",
  "planId": 00000,
  "password": "<what looks like a salted MD5 hash.>"
}

Eso es suficiente información para hacer mucho daño. Además de usar la tarjeta, pueden transferir mi número a un operador diferente y usar la autenticación de 2 factores para restablecer las contraseñas de muchas de mis cuentas más relacionadas con la seguridad (piense en el banco).

Descubrí esto el otro día usando su sitio web. Tienen una opción de "Recarga" que toma su número de teléfono, le informa su saldo y le permite recargar. Cuando me di cuenta de que me estaban diciendo el saldo sin iniciar sesión, abrí las herramientas para desarrolladores para ver la respuesta de ajax. Para mi sorpresa (y horror), vi la información de mi tarjeta de crédito.

¿Qué hacer?

No estoy seguro de a quién debo informarle esto, excepto a Visa / MasterCard. ¿Hay algún grupo de gobierno / industria que esté interesado? Estoy en los Estados Unidos.

    
pregunta user150880 14.06.2017 - 00:22
fuente

1 respuesta

6

En primer lugar:

  • usted no informa esto al gobierno / parte externa / visa / mastercard

Las partes externas sirven para complicar las cosas a través del conflicto de intereses. No es su negocio, es el negocio de la empresa quien tiene la API vulnerable. No les corresponde a ellos decidir cómo manejar esto, sino a la compañía.

  • No le digas a nadie en tu círculo de amigos, familiares ni a nadie sobre los detalles.

Aquí puedes meterte en problemas muy fácilmente. Si se descubre más tarde que alguien que usted conocía usó o intentó usar la información, se le podría responsabilizar por acciones imprudentes o, como mínimo, haber sido investigado en profundidad. No te pongas en esta posición y no le digas a nadie nada que les permita repetir la vulnerabilidad.

  • No entres en pánico

Lo mejor que puedes hacer en este momento es hacer un plan con calma y ejecutarlo. Cualquiera que esté en posición de explotar esto probablemente ya lo sepa. Es probable que alguien que no lo haga no lo descubra en los próximos días.

Ahora, en: Divulgación responsable

Paso 1 - Preparar

Antes de todo, debemos asegurarnos de que la API vulnerable esté bien documentada y tenga un conjunto de instrucciones. Por ejemplo, un pequeño informe, no tiene que ser largo, solo es fácil de seguir. La idea es que el interno en la oficina debe poder seguir los pasos, reproducir la vulnerabilidad e identificar con éxito los riesgos de seguridad. Un pequeño documento PDF o WORD servirá, solo asegúrate de tener algo listo en caso de que las cosas se muevan rápidamente.

Paso 2: primer contacto

Luego viene el primer contacto con la empresa. El primer contacto es algo delicado. Por un lado, usted esperaría que la compañía tenga el interés de sus clientes como primera prioridad. Por otro lado, algunas empresas responden bastante mal (y, en mi opinión, de manera irresponsable) a las personas que revelan vulnerabilidades en beneficio de todos los involucrados. Por esta razón, usted quiere retener los detalles exactos hasta que se llegue a un acuerdo de que no se tomarán medidas en su contra.

Yo, soy del tipo paranoico, y cuando me encuentro con este tipo de cosas, voy a una cafetería, utilizo TOR y uso un correo electrónico (uno que he configurado mediante un proceso similar) para iniciar el primer contacto . Sin embargo, depende de usted qué nivel de anonimato desea utilizar.

Algunas cosas que puedes revisar. Si la compañía tiene una recompensa de error, o tiene una política de divulgación. Deberías estar bien. Puede llamar a la compañía y preguntar si tienen un departamento responsable de las revelaciones de seguridad. La mayoría de las empresas de este tamaño tienen un correo electrónico de [email protected] . Todos estos tendrían información que lo llevaría exactamente a donde se debe hacer el primer contacto.

Paso 3 - Procesamiento

Una vez que esté hablando con la persona adecuada, debería resolverse a partir de ahí, excepto como lo he señalado anteriormente, si no hay una política de recompensas o de divulgación, asegúrese de que estén de acuerdo con los términos de la divulgación que implican su seguridad primero En algún momento, les entregará el documento que hizo en el paso 1.

Paso 4 - Cierre

El último paso para hacer es la divulgación pública. Este paso es completamente opcional y estará fuertemente vinculado a los términos de divulgación acordados en el paso 3. Pero generalmente ambas partes acuerdan un tiempo que la compañía tiene para corregir esta vulnerabilidad antes de que se pueda hacer un anuncio público. Es completamente normal que el investigador desee publicarlo en su blog o usarlo como material de referencia para otros proyectos o calificaciones. Este período de tiempo garantiza que la empresa no se vea sometida a una presión indebida y les da tiempo para actuar.

Enhorabuena, acaba de tener su primera divulgación responsable. Puedes elegir no anunciarlo nunca, y eso está bien. En ese caso, el período de tiempo desde el paso 3 será, para usted, cuando pueda informar de forma segura a sus amigos y familiares los detalles exactos.

Desearía poder hacer una representación por el deseo de divulgar la información de manera responsable. En su lugar, le deseo la mejor de las suertes. Trate de ser discreto, manténgase seguro y trate de trabajar con ellos. Buena suerte.

    
respondido por el Nalaurien 14.06.2017 - 05:26
fuente

Lea otras preguntas en las etiquetas

¿Razón para prohibir dígitos como primer carácter en las contraseñas? Cómo usar una llave USB encontrada de manera segura