¿Respuesta a un escaneo no autorizado por una compañía legítima? [cerrado]

8

El día de Navidad, nuestro servicio web sufrió un ataque aparente y respondimos bloqueando la IP de origen (única). Tras una investigación posterior, resultó que el 'ataque' era en realidad un intenso análisis de vulnerabilidad realizado por una empresa de renombre. Aparece uno de nuestros clientes de alojamiento lo había solicitado, pero no lo sabemos con seguridad.

El análisis comenzó con una solicitud de lo que supongo que es un archivo de verificación (por ejemplo, 38fsoif3n4.html) que no existía. Desafortunadamente, nuestra página 404 personalizada se configuró de forma incorrecta y devolvió un código de respuesta HTTP de 200 en lugar de 404. Probablemente el bot comprobó el archivo de verificación, se mostró satisfecho con una respuesta de 200 y continuó con el escaneo.

Esta versión de eventos se armó de nuestros archivos de registro y parece tener sentido. El problema es que la empresa en cuestión se niega a discutir el problema con nosotros. En su primera (y única) respuesta a mis preguntas, reconocieron que se realizó una exploración y se ofrecieron a pasar nuestra información de contacto a la parte que solicitó la exploración.

¿Es esta una respuesta aceptable? Hice un seguimiento y solicité que, dado que habían escaneado nuestros servidores sin nuestro conocimiento o consentimiento, y presumiblemente proporcionaron un informe a un tercero, deberían al menos darnos una copia de ese informe.

También les pedí que hicieran su verificación un poco más robusta. Deben, como mínimo, inspeccionar el contenido de su archivo de verificación, en lugar de confiar en una única respuesta HTTP 200. Este fue un análisis bastante intrusivo, con miles de envíos de formularios e intentos de inyección de SQL en un corto período de tiempo. Con ese tipo de impacto, probablemente también deberían verificar mediante el correo electrónico del dominio raíz (por ejemplo, [email protected]).

No han respondido en absoluto a estas solicitudes (razonables, creo). Para una empresa de seguridad, han mostrado un enfoque sorprendentemente laxo para la verificación y pueden haber revelado una vulnerabilidad para un competidor o pirata informático.

¿Cómo debo proceder? ¿Legalmente? Ejecutivo de Email Carpet-bomb? ¿Vergüenza pública?

EDITAR para aclarar

No estamos tan preocupados por nuestros clientes y no los perseguimos legalmente. Proporcionamos un creador de sitios / CMS para usuarios no técnicos y alojamos sus sitios en subdirectorios. Pueden cargar archivos en la lista blanca (sin código) e ingresar texto & html (JS del lado del cliente está bien, si lo desean). No tendrían necesidad de probar su propio código, ya que no tienen ninguno.

Nuestra preocupación es la compañía de seguridad que analizó nuestro servidor sin permiso, presumiblemente dio los resultados de ese análisis a un tercero, y ahora ni siquiera nos hablará de ello. Me encantaría simplemente dejarlo ir ("eh, grandes compañías, ¿qué vas a hacer?"), Pero parece irresponsable ignorarlo simplemente.

Solo busco cualquier apalancamiento, a menos que sea legal, para que la compañía responda.

    
pregunta michaelg 14.01.2016 - 08:34
fuente

2 respuestas

2

Si puede emprender una acción legal depende del contrato y los términos de servicio que haya establecido, sin embargo, es probable que no sea el camino correcto, ya que le costará dinero y perderá al menos un cliente. También puede desalentar a sus clientes de que se realicen pruebas de penetración, lo que sería algo malo.

Recomendaría educar a todos sus clientes sobre la forma correcta de hacer pentests. Infórmeles que usted apoya sin reservas las pruebas de seguridad, pero que puede afectar a todos los clientes si no se realiza correctamente, por lo que deben contactarlo para analizar el alcance y los horarios.

    
respondido por el GdD 14.01.2016 - 10:02
fuente
1

¿Qué tipo de servicio estás ofreciendo? Depende de sus TOS, lo que los usuarios pueden y no pueden hacer. Si tiene un servicio de alojamiento, depende de sus TOS si un usuario puede escanear su cuenta de alojamiento en busca de ataques con medios automatizados sin su consentimiento previo. La mayoría de las personas con conocimiento de seguridad prueban sus programas / scripts de producción no solo en localhost, ya que la configuración en el alojamiento compartido puede reducir la seguridad o cambiar otras implicaciones de seguridad inesperadas. Tienen razón al no proporcionar información, ya que usted no es el cliente, debe señalar al tercero y comenzar desde allí. En cuanto a la verificación, deberían tener una mejor, pero supongo que hay otros medios para verificar la propiedad. de un script / producto para que se pueda ejecutar una prueba. Además, siempre puede buscar secuencias de comandos intrusivas en su servicio de alojamiento que se utilizaron para representar o atacar directamente a alguien y que desencadenaron el análisis. Anywya la compañía estaba haciendo su trabajo.

    
respondido por el Setekh 14.01.2016 - 08:54
fuente

Lea otras preguntas en las etiquetas