El día de Navidad, nuestro servicio web sufrió un ataque aparente y respondimos bloqueando la IP de origen (única). Tras una investigación posterior, resultó que el 'ataque' era en realidad un intenso análisis de vulnerabilidad realizado por una empresa de renombre. Aparece uno de nuestros clientes de alojamiento lo había solicitado, pero no lo sabemos con seguridad.
El análisis comenzó con una solicitud de lo que supongo que es un archivo de verificación (por ejemplo, 38fsoif3n4.html) que no existía. Desafortunadamente, nuestra página 404 personalizada se configuró de forma incorrecta y devolvió un código de respuesta HTTP de 200 en lugar de 404. Probablemente el bot comprobó el archivo de verificación, se mostró satisfecho con una respuesta de 200 y continuó con el escaneo.
Esta versión de eventos se armó de nuestros archivos de registro y parece tener sentido. El problema es que la empresa en cuestión se niega a discutir el problema con nosotros. En su primera (y única) respuesta a mis preguntas, reconocieron que se realizó una exploración y se ofrecieron a pasar nuestra información de contacto a la parte que solicitó la exploración.
¿Es esta una respuesta aceptable? Hice un seguimiento y solicité que, dado que habían escaneado nuestros servidores sin nuestro conocimiento o consentimiento, y presumiblemente proporcionaron un informe a un tercero, deberían al menos darnos una copia de ese informe.
También les pedí que hicieran su verificación un poco más robusta. Deben, como mínimo, inspeccionar el contenido de su archivo de verificación, en lugar de confiar en una única respuesta HTTP 200. Este fue un análisis bastante intrusivo, con miles de envíos de formularios e intentos de inyección de SQL en un corto período de tiempo. Con ese tipo de impacto, probablemente también deberían verificar mediante el correo electrónico del dominio raíz (por ejemplo, [email protected]).
No han respondido en absoluto a estas solicitudes (razonables, creo). Para una empresa de seguridad, han mostrado un enfoque sorprendentemente laxo para la verificación y pueden haber revelado una vulnerabilidad para un competidor o pirata informático.
¿Cómo debo proceder? ¿Legalmente? Ejecutivo de Email Carpet-bomb? ¿Vergüenza pública?
EDITAR para aclarar
No estamos tan preocupados por nuestros clientes y no los perseguimos legalmente. Proporcionamos un creador de sitios / CMS para usuarios no técnicos y alojamos sus sitios en subdirectorios. Pueden cargar archivos en la lista blanca (sin código) e ingresar texto & html (JS del lado del cliente está bien, si lo desean). No tendrían necesidad de probar su propio código, ya que no tienen ninguno.
Nuestra preocupación es la compañía de seguridad que analizó nuestro servidor sin permiso, presumiblemente dio los resultados de ese análisis a un tercero, y ahora ni siquiera nos hablará de ello. Me encantaría simplemente dejarlo ir ("eh, grandes compañías, ¿qué vas a hacer?"), Pero parece irresponsable ignorarlo simplemente.
Solo busco cualquier apalancamiento, a menos que sea legal, para que la compañía responda.