En primer lugar:
- usted no informa esto al gobierno / parte externa / visa / mastercard
Las partes externas sirven para complicar las cosas a través del conflicto de intereses. No es su negocio, es el negocio de la empresa quien tiene la API vulnerable. No les corresponde a ellos decidir cómo manejar esto, sino a la compañía.
- No le digas a nadie en tu círculo de amigos, familiares ni a nadie sobre los detalles.
Aquí puedes meterte en problemas muy fácilmente. Si se descubre más tarde que alguien que usted conocía usó o intentó usar la información, se le podría responsabilizar por acciones imprudentes o, como mínimo, haber sido investigado en profundidad. No te pongas en esta posición y no le digas a nadie nada que les permita repetir la vulnerabilidad.
Lo mejor que puedes hacer en este momento es hacer un plan con calma y ejecutarlo. Cualquiera que esté en posición de explotar esto probablemente ya lo sepa. Es probable que alguien que no lo haga no lo descubra en los próximos días.
Ahora, en: Divulgación responsable
Paso 1 - Preparar
Antes de todo, debemos asegurarnos de que la API vulnerable esté bien documentada y tenga un conjunto de instrucciones. Por ejemplo, un pequeño informe, no tiene que ser largo, solo es fácil de seguir. La idea es que el interno en la oficina debe poder seguir los pasos, reproducir la vulnerabilidad e identificar con éxito los riesgos de seguridad. Un pequeño documento PDF o WORD servirá, solo asegúrate de tener algo listo en caso de que las cosas se muevan rápidamente.
Paso 2: primer contacto
Luego viene el primer contacto con la empresa. El primer contacto es algo delicado. Por un lado, usted esperaría que la compañía tenga el interés de sus clientes como primera prioridad. Por otro lado, algunas empresas responden bastante mal (y, en mi opinión, de manera irresponsable) a las personas que revelan vulnerabilidades en beneficio de todos los involucrados. Por esta razón, usted quiere retener los detalles exactos hasta que se llegue a un acuerdo de que no se tomarán medidas en su contra.
Yo, soy del tipo paranoico, y cuando me encuentro con este tipo de cosas, voy a una cafetería, utilizo TOR y uso un correo electrónico (uno que he configurado mediante un proceso similar) para iniciar el primer contacto . Sin embargo, depende de usted qué nivel de anonimato desea utilizar.
Algunas cosas que puedes revisar. Si la compañía tiene una recompensa de error, o tiene una política de divulgación. Deberías estar bien. Puede llamar a la compañía y preguntar si tienen un departamento responsable de las revelaciones de seguridad. La mayoría de las empresas de este tamaño tienen un correo electrónico de [email protected]
. Todos estos tendrían información que lo llevaría exactamente a donde se debe hacer el primer contacto.
Paso 3 - Procesamiento
Una vez que esté hablando con la persona adecuada, debería resolverse a partir de ahí, excepto como lo he señalado anteriormente, si no hay una política de recompensas o de divulgación, asegúrese de que estén de acuerdo con los términos de la divulgación que implican su seguridad primero En algún momento, les entregará el documento que hizo en el paso 1.
Paso 4 - Cierre
El último paso para hacer es la divulgación pública. Este paso es completamente opcional y estará fuertemente vinculado a los términos de divulgación acordados en el paso 3. Pero generalmente ambas partes acuerdan un tiempo que la compañía tiene para corregir esta vulnerabilidad antes de que se pueda hacer un anuncio público. Es completamente normal que el investigador desee publicarlo en su blog o usarlo como material de referencia para otros proyectos o calificaciones. Este período de tiempo garantiza que la empresa no se vea sometida a una presión indebida y les da tiempo para actuar.
Enhorabuena, acaba de tener su primera divulgación responsable. Puedes elegir no anunciarlo nunca, y eso está bien. En ese caso, el período de tiempo desde el paso 3 será, para usted, cuando pueda informar de forma segura a sus amigos y familiares los detalles exactos.
Desearía poder hacer una representación por el deseo de divulgar la información de manera responsable. En su lugar, le deseo la mejor de las suertes. Trate de ser discreto, manténgase seguro y trate de trabajar con ellos. Buena suerte.