¿Dónde informar públicamente de una vulnerabilidad, después de que el desarrollador la ignore? [duplicar]

7

Si he descubierto una vulnerabilidad y la he divulgado al desarrollador del sitio web / aplicación, ¿cómo debo revelarla públicamente?

Le di al desarrollador tiempo suficiente para abordar el problema, según lo recomendado por esto . Sé que ahora debería revelar información pública para advertir a los posibles usuarios, pero ¿cómo y dónde debo hacer esto?

    
pregunta Academiphile 25.07.2016 - 15:31
fuente

4 respuestas

8

Puedes intentar involucrar al CERT. enlace

  

Es más probable que aceptemos informes si:

     
  • son técnicamente exactos, suficientemente detallados y razonablemente completos
  •   
  • afecta a múltiples proveedores
  •   
  • seguridad de impacto o infraestructura crítica
  •   
  • implica desacuerdo o disputa entre reporteros y proveedores
  •   
  • involucrar a proveedores difíciles de alcanzar o que no responden
  •   
  • afecta a proveedores o sectores que son nuevos en la seguridad del software y la divulgación de vulnerabilidades
  •   
  • requiere anonimato del reportero
  •   
    
respondido por el Iraklis 25.07.2016 - 19:32
fuente
4

La vulnerabilidad puede existir debido a negligencia, ignorancia o recursos limitados. Los propietarios deciden cuándo y cómo resolver el problema. La decisión es de su responsabilidad, no de usted.

  1. Tome un paso adicional para divulgar su prueba de vulnerabilidad a los propietarios del sitio.
    (es decir, verifique que están recibiendo sus comunicaciones)

  2. Si no obtiene una respuesta satisfactoria, pase esta información a su jefe.
    (rango más alto en la compañía o compañía matriz)

Como han dicho otros, sé cortés y profesional. Esto te ayudará a ganar credibilidad. Debe comenzar con una explicación humana simple (solo los hechos), y en el mismo correo electrónico debe incluir los detalles técnicos. (para que la compañía pueda verificar sus hallazgos antes de responder)

Si todas las vías fallan, Le animo a pasar la evidencia al servicio público responsable (se sugiere un póster en el CERT), pero no tengo experiencia en esto.

No debe revelar la vulnerabilidad públicamente.

  • Esto puede llevar a un ataque exitoso por parte de individuos con poca intención.
  • En muchas jurisdicciones, hay consecuencias legales que las empresas pueden imponer a los individuos en su posición.
  • Dicha publicación puede promover un balance pobre de responsabilidad entre el atacante y el defensor.

Admito que puede haber casos en los que sea correcto divulgar públicamente una vulnerabilidad, pero le sugiero encarecidamente que difiera ese manejo responsable, cuidadoso e imparcial a un servicio público que tenga más experiencia en tales asuntos.

    
respondido por el George Bailey 25.07.2016 - 20:17
fuente
0

Lo último que debes hacer es decir: Repárelo, responda, o publicaré su error en un período de tiempo determinado.

Lo que debes considerar:

  • Asegúrate de pasar el tiempo suficiente
  • Póngase en contacto con ellos nuevamente, asegúrese de que su correo incluya un PoC que explique los peligros y cómo simular, etc. y también haga un pequeño video de usted explotando el error.
  • Explícales explícitamente que no tienes malas intenciones, y deja algo de información personal (dirección de correo y nombre).
  • Dé una fecha límite, digamos que está obligado a publicar el error al público en unas pocas semanas mediante la Política de divulgación responsable. Mención: la fecha límite no es para decir "entonces debería ser arreglado", es para decir "para entonces debes comenzar a arreglarlo".
  • Hable sobre las recompensas / recompensas de errores en su próxima respuesta; no los empujes.
  • ¿Intenta llamar y / o las redes sociales que están usando?
  • Sé amable, claro y profesional.
respondido por el O'Niel 25.07.2016 - 17:55
fuente
-1

Si esto es interno a su compañía o de alguna manera conectado a usted, documente todo y la correspondencia. Pase la responsabilidad hacia arriba y entregue la información a los superiores o al cuerpo directivo.

    
respondido por el Tom V 25.07.2016 - 17:47
fuente

Lea otras preguntas en las etiquetas