¿Cómo comunico los problemas de seguridad encontrados en una plataforma de banca en línea?

Navega tus respuestas
-2

Ocasionalmente, he producido (y reproducido) el HTTP 500 Internal Server Error en una plataforma de banca en línea, bastante famosa. Supongo que los errores se deben a errores en el código de back-end, posiblemente vulnerabilidades de seguridad.

¿Cómo puedo hacer pública esta información sin comprometer una plataforma que utilizan miles de personas?

Desde mi punto de vista, simplemente comunicarlo al equipo de desarrollo del banco es insuficiente; Me gustaría asegurarme de que someten la plataforma a una evaluación de vulnerabilidad.

    
pregunta Igor 02.05.2014 - 12:30
fuente

3 respuestas

3

Un error del servidor 500 podría sugerir que hiciste algo que los desarrolladores no esperaban, pero eso no significa que haya una vulnerabilidad. Tal vez solo muestre un mensaje de "intento de piratería evitado" en el registro y le dé un error indescriptible para no darle ninguna información útil.

Cuando esté convencido de que el software no es seguro, puede difundir un poco de FUD en línea sobre el software y los bancos que los usan, pero cualquier reacción que desencadene será una carta de cese y desistimiento por difamación. A menos que tenga un exploit operativo que demuestre que existe una vulnerabilidad, nadie tiene una razón para creer que realmente encontró una.

Pero tratar de encontrar y utilizar un exploit en un sistema de producción que no posee puede ser un acto criminal en muchas partes del mundo y puede llevarlo a graves problemas legales. Cuando desee realizar pruebas de penetración en un software, debe configurar su propia instancia privada. Cuando el software no está disponible de forma gratuita, esto puede ser bastante difícil de hacer.

Informar a los desarrolladores de que es posible que haya encontrado un error en su software es realmente todo lo que puede hacer. Cuando creen que el error no se puede explotar y es poco probable que sea activado por un usuario normal y, por lo tanto, no vale la pena corregirlo, esa es su decisión.

    
respondido por el Philipp 02.05.2014 - 13:41
fuente
0

No puede hacer pública una vulnerabilidad y esperar que de alguna manera no sea explotada. Debe informar al banco sobre cualquier vulnerabilidad que haya encontrado y darles la oportunidad de solucionarlo. Si no lo solucionan, entonces hacerlo público es una forma posible de nombrarlos y avergonzarlos para solucionar el problema, pero en general se considera una oportunidad de último momento.

En cuanto a cómo lo arregla el banco, ese es su problema, no el tuyo.

    
respondido por el GdD 02.05.2014 - 13:07
fuente
0

Diría que solo debe ponerse en contacto con el servicio de atención al cliente y mencionar que experimentó un error y publicar una pantalla de impresión. Según lo que ha descrito, no creo que tenga pruebas suficientes de una vulnerabilidad real, por lo que no creo que realmente tenga la obligación de garantizar que lo resuelvan de acuerdo con sus expectativas.

Supongo que depende del país, pero también me sorprendería si les diera una pantalla de impresión con un seguimiento de pila o similar a su servicio de atención al cliente y no llegara a su equipo de seguridad de inmediato. Los bancos tienden a tomarse la seguridad muy en serio y les interesa investigarlo a fondo.

    
respondido por el thexacre 02.05.2014 - 13:27
fuente

Lea otras preguntas en las etiquetas

¿Qué tan seguros son los sistemas de archivos cifrados y cómo funcionan sus actualizaciones? [cerrado] Generando listas de palabras con mayúsculas y minúsculas con crujido