He descubierto una vulnerabilidad que puede revelar información personal de varios sitios web. ¿Cómo hacerlo?

7

No es tanto una vulnerabilidad técnica, sino una práctica de seguridad descuidada por parte de una consultora de diseño web. Utilizan un CMS que han aumentado con un inicio de sesión de administrador. A medida que sucede, los usuarios administradores se almacenan en una tabla y el campo de la contraseña es de texto simple.

Habiendo visto qué nombre de usuario / contraseña usaron para el sitio de mi cliente, estoy 99% seguro de que es la misma contraseña en otros sitios que han diseñado. Una docena de su cartera tiene un formulario de inicio de sesión de administrador idéntico, pero obviamente no puedo probar legalmente si el sitio es vulnerable, porque la única forma de hacerlo sería intentar iniciar sesión.

¿Sería un curso de acción razonable contactar a estos sitios individualmente, informarles sobre mi sospecha y sugerir cómo pueden solucionarlo?

Y lo que es más importante, ¿me estoy poniendo en riesgo al hacerlo? Los propietarios más inteligentes se darán cuenta de que si son vulnerables, también lo son los otros sitios de la cartera, y podrían hacer cosas desagradables, al mismo tiempo que les digo a esos sitios que saben cómo acceder a sus áreas de administración. Suena como si los dedos pudieran apuntarme hacia mí. ¿Alguna sugerencia?

    
pregunta user58816 16.10.2014 - 17:04
fuente

1 respuesta

6

A menos que tengan algún tipo de programa de recompensa de errores, usted se está poniendo en riesgo al informar a las organizaciones que no lo han contratado. La organización puede darse la vuelta y decir: "Nos estás pirateando, esto es una prueba. Te estamos demandando ”. He tenido que pelear con altos directivos en trabajos anteriores para no tomar ese curso de acción. O BS de mentalidad similar porque lo ven más como un ataque contra ellos. Piensan que es más seguro atacarte que divulgar esa información.

Si se trata de organizaciones más pequeñas, existe un riesgo menor de esto. En general, su información irá a las personas que se preocuparán y querrán arreglarla primero. Generalmente (no siempre) estarán agradecidos por los comentarios y querrán respaldarlos mejor. En las organizaciones más grandes, primero será legal y ellos decidirán cómo responder antes de que se dirija a las personas que potencialmente lo arreglarían.

Si elige divulgarlo, tome todas las precauciones posibles para asegurarse de que no puedan rastrearlo hasta usted. Personalmente, no revelaría esto a menos que tengan un programa de tipo de recompensa de errores. No vale la pena arriesgar tu carrera por. Eso puede parecer contrario a lo que deberíamos hacer como profesionales de la seguridad. Independientemente de que gane o pierda en el tribunal, su reputación se verá afectada y los empleadores, al igual que su empleador actual, pueden pensarlo dos veces. Las organizaciones también pueden perseguir a su empleador actual. ¿Cómo responderían a eso?

    
respondido por el Paraplastic2 17.10.2014 - 16:39
fuente

Lea otras preguntas en las etiquetas