Divulgaciones responsables y ser demandado

Bienvenido al enigma del negocio de la seguridad y por qué es más rentable ser un mal tipo que un bueno.

Recuerda esto sobre "ser demandado" ... Cualquiera puede demandar a cualquiera, incluso si no hay nada justificado para demandar. Si una entidad tiene dinero para demandar a la entidad que no tiene dinero para luchar, pierde, casi automáticamente. El 50% del tiempo o más, si lo demandan por algunas de estas cosas, también tendrá que luchar al mismo tiempo contra las autoridades penales o regulatorias estatales o federales (o su país equivalente) al mismo tiempo.

Esta es la razón por la que siempre prevalecerá la inseguridad, y por eso estoy seguro de que nadie quiere que se solucione nada.

Aquí en los EE. UU., si incluso encuentra un problema sin darse cuenta y lo informa al propietario de un producto que podría enfrentar su ira civil (demanda), podría enfrentarse a DMCA y otros. ¿Qué quiero decir con inadvertidamente? Podría estar depurando lo que creo que es un problema con mi máquina local actuando torcida y descompilar, o código fuente de un tercero (donde encuentro el problema). Ahora recuerde, están causando el problema a MI máquina y estoy tratando de resolverlo ... Tan pronto como lo encuentre y lo informe, podría estar en esta área gris.

Y ni siquiera estoy "pirateando" per se.

Por lo tanto, las reglas se han escrito mal y mal para permitir la divulgación pública. Creo que esa es la razón por la que las organizaciones que desean encontrar errores y problemas de seguridad crean programas de "recompensas de errores" muy abiertos y claros y lo hacen con un enfoque muy "abierto".

Lo que he visto que funciona en ausencia de ellos, es hacer lo que hacen muchos investigadores ... configurar cuentas anónimas a las que puede reportar la información a las organizaciones, y no aceptar el crédito hasta que esté bien. después de que haya sido atendido, supongo que es a menos que estés hackeando Facebook. Parece que todo el mundo está en la cara de Facebook pirateando agresivamente y públicamente :).

Si una empresa reconoce que las pruebas de penetración no solicitadas les han informado sobre problemas de seguridad, esencialmente admiten que tienen sistemas inseguros a disposición del público. Además, las pruebas de penetración no solicitadas son un ataque a sus sistemas, por lo que, si bien puede ser el caballero de la armadura brillante para ayudarles a proteger sus sistemas y los datos de sus clientes, también está infringiendo la ley y se lo considera en consecuencia.

Existen organismos que pueden estar informados de los problemas identificados en los sitios y que informarán al propietario del sitio / negocio en un proceso de "divulgación responsable". es decir, informar al propietario del problema y darles tiempo para resolverlo, informarles 3 meses más tarde si no se resuelve, haga público si no hay respuesta / resolución.

Como usted señala, es más o menos un área gris. Dicho esto, si un investigador de seguridad revela una vulnerabilidad al proveedor sin causar problemas, divulgar información confidencial, etc., el vendedor no tiene motivos para demandar o presentar cargos penales contra el investigador; ¿no querrían que los investigadores divulgaran a ¿En lugar de liberar o usar 0 días?

(Busque "Weev" para un caso que no fue tan bien ...)