Encontró una vulnerabilidad de seguridad en el sitio relacionado con gov

8

Así que no estoy seguro de cómo tratar con lo que encontré. Es un agujero de seguridad realmente simple, pero abre una gran cantidad de datos personales si se explota.

Estaba en un sitio web de utilidad del gobierno (siendo vago intencionalmente) y tenía un problema para recuperar mi contraseña. Noté que era capaz de decirme que la respuesta a mi pregunta de seguridad no era válida sin solicitar una nueva página y pensé que era extraña, así que abrí mis herramientas de desarrollo y descubrí que dependía completamente de Javascript para determinar si mi respuesta era correcta. Para estar seguro, siempre tuve la función que devolvía verdadero y me saludaron con la pantalla de cambio de contraseña, y (con risa) no requería la contraseña anterior. Cambié mi contraseña y tuve acceso a mi perfil nuevamente, solo necesitaba un nombre de usuario para acceder a mi información.

Intenté enviar un correo electrónico al administrador de web sobre el problema. Ninguna respuesta. Estoy preocupado porque no había hecho mucho en el sitio y ya tenía mi SSN, números de enrutamiento / acceso a cuentas bancarias, direcciones personales, etc.

¿Qué debo hacer? No quiero escuchar en unos pocos meses que algún otro hacker aficionado obtuvo toda la información y la vendió / filtró. ¡Gracias!

    
pregunta Un Named 14.04.2015 - 04:20
fuente

3 respuestas

7

Cualquier problema con una aplicación web del gobierno federal, me pondría en contacto con la oficina de mi miembro del Congreso.

Se están volviendo cada vez más conscientes y preocupados por la seguridad y la privacidad de los sistemas informáticos gubernamentales. Puedes decir lo que quieras sobre nuestro congreso estancado e inefectivo, pero todavía son muy buenos para hacer que las cosas sucedan en las diversas agencias gubernamentales que financian. Dígales lo que escribió anteriormente, especialmente que nunca recibió una respuesta.

Si no se siente atraído por esto, hágales saber que el congresista está ahora en la cadena de personas que "sabían pero no hicieron nada" cuando finalmente se comunica con la prensa.

Creo que llamarlos y exigir dinero es una idea arriesgada.

    
respondido por el mcgyver5 14.04.2015 - 17:54
fuente
2

La mayoría de los países tienen un Equipo de Respuesta a Emergencias Informáticas (CERT) con el que puede ponerse en contacto, es decir: US-CERT, CERT Australia, etc. Por lo general, tienen las conexiones correctas para resolver el problema. Google CERT más su nombre de país para comenzar.

    
respondido por el wireghoul 14.04.2015 - 04:28
fuente
0

Como antiguo administrador de servicios web contratado por el gobierno, mi experiencia es que casi todos los servicios siguen un mandato para especificar a una persona de contacto con la propiedad del servicio en cuestión. el error de seguridad generalmente resultará en el tipo de respuesta que esperaría, con una escalada a un administrador o ingeniero. Si esto no funciona, es probable que la agencia matriz tenga un contacto de servicio web que también pueda dirigir el problema.

En el futuro, su capacidad para recibir ayuda relevante podría mejorarse al detallar el sitio afectado en lugar de la vulnerabilidad. Ahora estás en un dilema en el que no puedes señalar el sitio para obtener ayuda para encontrar una persona de contacto, ya que hacerlo podría implicarte si algo malo sucediera.

e: Me di cuenta de que interpreté mal las fechas de publicación como hoy, 15 de abril. Siéntase libre de ignorarme, aunque la respuesta anterior probablemente todavía sea válida.

    
respondido por el Zuryn 15.04.2016 - 22:13
fuente

Lea otras preguntas en las etiquetas