Jump to content
Vehuiah

Cum se raporteaza o vulnerabilitate?

Recommended Posts

Salutare, in ultima vreme am dat peste cateva vulnerabilitati apartinand unor firme foarte populare din Romania care nu au programe de tip bug-bounty.

Intrucat am nevoie de serviciile online ale respectivelor organizatii si nu eram multumit de nivelul de securitate, le-am scris in vederea raportarii posibilului impact fara sa am pretentia la o recompensa.

 

Cazurile mele:

- Lipsa certificat SSL/TLS: am luat legatura prin singurul email disponibil pentru clienti. Ulterior mi s-a raspuns ca raportul meu a fost redirectionat departamentului IT. Iar dupa cateva luni de zile site-ul a inceput sa foloseasca certificat.

- Username/email enumeration: O persoana din departamentul de relatii cu clientii mi a raspuns cu un template in care imi multumeau pentru feedback-ul meu dar nu a fost mentionat nimic despre vulnerabilitate sau securitate. Cateva luni mai tarziu, vulnerabilitatea exista in continuare.

- Alt username/email enumeration: Am luat legatura prin linkedin cu o persoana de la conducerea departamentului de securitate IT, dar nu am oferit raportul direct. In schimb am cerut indrumare despre cum as putea trimite raportul. Ma asteptam la un canal de comunicare oficial al firmei dar reprezentatul firmei a cerut raportul pe linkedin. In conditiile in care eu nu ma asteptam la o recompensa si interesul meu era sa fie rezolvata problema, am oferit raportul. Dupa cateva saptamani, si niciun raspuns, am cerut feedback la raport si nu am primit nimic. Linkedin marcheaza mesajele vazute de catre destinatar si indica faptul ca raportul si cererea de feedback au fost citite. In continuare, vulnerabilitatea exista.

 

In conditiile in care amenzile sunt foarte mari pentru vulnerabilitati de tip "client information disclosure", ma asteptam sa se rezolve.

 

Ma intrebam: cum ar trebui sa procedez ca sa isi rezolve problemele?

Link to comment
Share on other sites

Ceea ce ai gasit tu nu e tocmai critic si e normal sa nu se oboseasca sa repare, mai ales ca probabil nu au o echipa de securitate interna.

5 hours ago, Vehuiah said:

In conditiile in care amenzile sunt foarte mari pentru vulnerabilitati de tip "client information disclosure", ma asteptam sa se rezolve.

 

Nu vad sa fie niciun "client information disclosure" daca te referi la GDPR.

 

E util ceea ce faci tu, dar e si riscant pentru tine - poti fi dat in judecata, sper insa ca nu mai exista firme "comuniste" care sa faca asa ceva in prezent.

Apoi, nu ar trebui sa te stresezi ca "de ce nu repara?". E treaba lor, tu ai fost OK, le-ai zis de probleme.

 

Si in ultimul rand, nu ar trebui sa ai nicio asteptare din partea lor, sa iti ofere ceva sau sa te plateasca. O pot face unele firme, sa iti ofere ceva produs al lor sau mai stiu eu ce, ar fi frumos, dar sansele sunt destul de mici mai ales fiindca vulnerabilitatile nu sunt tocmai critice.

  • Upvote 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...