最近、主にあなたの国で活動し、市場で非常に強力ないくつかの Web サイトでいくつかの重大な脆弱性を発見したとしましょう。私が話している脆弱性は、スーパー管理者権限で管理インターフェイスを閲覧できるようにするのと同じくらい悪い.
あなたは今何をしますか?私は次のようなことを考えています:
皆さんはどう思いますか?これについて読むべき資料や共有する経験はありますか?
Talk. To. A. Lawyer.
This could get sticky depending on the company. By saying "you have xx days to fix this before I announce the exploit", you are basically saying "do what I expect, or I will cause you lots of grief".
The other issue is, how did you discover this? Were you using the site 'normally', or did you see the potential for the hole and decide to see if it worked? This is very important to keep in mind, especially if you are considering setting a time limit to fix the issue. I'm not sure what the laws say where you live, so please, talk to someone who does.
You might end up with their thanks, some cash for entering into a NDA (you did, after all, browse the admin interface) and you might get some credit in the security industry. But, be very, very careful and do try and seek the advice of an attorney.
あなたは正しい軌道に乗っていると思います。
このような場合の一般的な傾向は、前述の会社にバグレポートを提出し、問題の重大度と修正に必要な時間の見積もりに応じて、しばらく時間を与えることです。その後、会社が別の方法であなたに求めない場合(プレミアムのために?)、通常は完全な開示があります。
ただし、会社が時間内に返信しない場合、またはより良い結果を得るために結果を公開する権利があることを認めない場合 (私は信じています)。
何をするにしても、会社とのコミュニケーションの適切な記録を維持してください。これにより、不測の事態を回避することができます。
簡単に言えば:
それを無視します。
あなたの行動は(あなたがそれを見つけたとしても)ほとんどの場合違法です。したがって、その会社はあなたを法廷に連れて行き、あなたの人生を悲惨なものにする可能性があります。似たようなことが以前にもありました。ほとんどの場合、弁護士はあなたを助けることができません。
セキュリティ業界で働いていない一部の人々は、私に同意しないかもしれません (別名反対票)。
最後に、これを適切に行う方法の 1 つとして、向こうに友人がいる場合、または個人的な連絡先が彼/彼女と非公式のチャットをしている場合 (後で否定でき、証拠にはなりません)、彼/彼女は話すことができます。これを確認してください。内部調査結果のように報告します。
オープンソース/商用アプリケーションの報告については、これが興味深く役立つかもしれません: http://www.wiretrip.net/rfp/policy.html -責任ある開示- しかし、これは、企業のライブ Web サイトで脆弱性を見つけることとは別の話です。 / インフラストラクチャー。
それが商用製品であり、リバース エンジニアリングを行った場合でも、多くの国では依然として違法です。そのため、製品であっても注意が必要です。最近、Google や MS などの企業が、自社製品のセキュリティ問題を報告する方法を公表し始めました。
多くは、上記の脆弱性の責任者に依存します。彼自身の裏側をカバーするために、彼は法廷であなたを追いかけるかもしれません。さらに、管理パネルにアクセスできれば、個人情報や企業秘密にもアクセスできたはずです。変数が多すぎて確認できません。他の人がすでに言っているように、あなたの弁護士に相談してください。一部の国では、コンピューター犯罪や関連する問題を専門とする弁護士もいますが、それらが最適です。
1年前、私は2つのLinuxサーバーを担当していましたが、これらのサーバーはSSHブルートフォース攻撃によって絶えず攻撃されていました。私は、mail.some_company.comのような名前のIPのほとんどの管理者に電子メールを送信していました。これは、ほとんどの場合、システムが侵害されていることを意味しているためです。ログを確認すると、地元の会社のIPが見つかりました。少しも考えずに、問題を報告するために彼らに電話をかけました。彼らの管理者の反応は、「何?!あなたは誰ですか?私たちのサーバーに何をしているのですか?!」という線に沿っていました。
Secuniaなどの組織に脆弱性を報告し、開示を管理するように依頼することを検討できます。彼らは以前にこの種のことをしたことがあります...
私は個人的にそれを会社に報告し、それを修正するための合理的な期間を与えます. ただし、期限が長くなると思われる場合は、期限の延長をリクエストするオプションも提供してください。その期限後、脆弱性を開示してください。
政府のセキュリティ組織に報告することを検討するかもしれません。私の主な懸念は、脆弱性を公に開示することで法律に違反する可能性があることを考えると、匿名で報告する必要があるかどうかです。それはあなたの国によって異なります。
あなたの国に連邦取引委員会などの政府規制機関がある場合は、それらに報告してから、その存在を忘れてください。
直属の部下である場合、まず直属の部下を見つける必要があります。次に、「どうやってこれを知っていますか」という質問に対処する必要があります(弁護士と話すの+1)。そして、あなたが公表すると脅迫した場合、地元の警察が令状を持ってあなたのドアをノックし、続いて恐喝で逮捕されるかもしれません(弁護士に相談して+2)。
まず、セキュリティ ホールを会社に報告します。彼らが彼らの世話をしないなら、私はそれを一般に発表します.
私があなたの立場なら、間違いなく会社に報告したでしょう。あなたが言及したように問題が深刻な場合は、利用可能な最速の通信手段を使用して報告してください。
何らかの解決策を知っている場合は、それも知らせてください。
問題と解決策に関する一般的なブログや記事を書くことができます。これは、他の人が自分のシステムをチェックするのに役立ちます。問題が発生する可能性があるため、会社やウェブサイトについては何も開示しないでください。