Vor 3 Jahren habe ich ein Sicherheitsaudit für eine große E-Commerce-Website durchgeführt. Bei der Durchführung der Prüfung habe ich mehrere schwerwiegende Sicherheitsprobleme festgestellt, die den Zugriff auf Daten ermöglichen, auf die nach Abschluss einer Transaktion nicht zugegriffen werden sollte. Auf dieser Website gibt es mehrere Hauptrisiken. Zuerst können Sie sehen, dass Bestellungen in Echtzeit durch das System kommen. Alle Transaktionen werden von dieser Firma manuell bearbeitet. Wenn Sie eine Transaktion anzeigen, können Sie Name, Adresse und Versandziel sehen. Ich sehe hier 2 Missbrauchspunkte, 1 - Sie können das Schiff einfach bearbeiten und die Sendung an sich selbst senden lassen, und 2 - Sie können den Benutzer direkt anrufen, während die Bestellung aufgegeben wurde und eine "Telefonkonformation" machen, um einfach Zugang zu erhalten zur cc info mit grundlegendem Social Engineering.
Sie können auch mit ein wenig mehr Arbeit die CC-Info und Bestell-ID-Nummern ablegen und dann einfach die Bestell-ID und Benutzerinformationen zusammenbringen. Das ist alles, indem Sie exponierte Funktionen auf ihrer Site verwenden und einige Werte ändern. Ja ich bin vage aus einem Grund.
Der Marketingleiter dieses Unternehmens wurde vor drei Jahren vor diesen Risiken gewarnt und hat nichts unternommen, um sie zu korrigieren. Ich zweifle nicht, ob ich das andere finden kann. Diese Seite führt 88K Transaktionen pro Jahr durch und hat alle Bestellungen, die jemals noch in Daten verarbeitet wurden, zugänglich gemacht.
Also die ethische Frage ... was mache ich? Meine Firma kümmert es nicht ... also kann ich dort keine Hilfe bekommen. Wenn ich den Marketing-Typ kontaktiere, wird er einfach weiter seinen Arsch und die Ärsche seines inkompetenten internen Entwicklungsteams abdecken (kalte Fusion). Komme ich jemanden höher an? Gehe ich in meiner Firma herum? Kann ich nur die Daten abbauen und sie an einen Konkurrenten verkaufen, ohne die CC-Info? Was mache ich, wenn ich das weiß? Es nagt an mir und ich kann es nicht gehen lassen. Dies ist nur eine von vielen Seiten, die ich kenne, aber die Leichtigkeit des Zugriffs und der hohe Traffic lässt mich darüber nachdenken.
Aus der Sicht des normalen Kunden sollte der Grad der Kundenbetreuung in diesem Unternehmen an die Öffentlichkeit gehen. Sie interessieren sich wirklich nicht für irgendwelche Löcher, die private Daten der Kunden enthüllen könnten. Also müssen sie wirklich bestraft werden. Aber das Aufdecken der Löcher wird nicht nur ihnen, sondern auch ihren Kunden schaden.
Wenn Sie für eine Sicherheitsüberprüfung bezahlt wurden, haben Sie ein ethisches Recht, weder Informationen über etwas, das Sie gefunden haben, zu veröffentlichen noch es in irgendeiner Weise zu verwenden. Wer wird dem Sicherheitsexperten vertrauen, was er selbst Jahre später gefunden hat? Ich denke, du kannst nichts machen.
Finden Sie die richtige Person in der Firma.
Wenn es nicht eine richtige Person gibt, können Sie eine Audienz mit der höchsten Chance bekommen und das Problem in ein paar einfachen nicht-technischen Sätzen erklären.
"Jeder einzelne Kunde, der jemals diese Service-Informationen verwendet hat, kann heute von einer halbkundigen Person gestohlen werden. Ich gebe die Chance, dass dies im nächsten Jahr bei% 50 geschieht. Wenn / wenn dies geschieht." kostet 5mil in Klagen, 1mil in Überstunden, n Millionen Ruf, n Millionen in Zukunft verlorene Kunden / Bestellungen ".
Das hat in der Vergangenheit für mich funktioniert und wenn Sie das tun, haben Sie Ihr Bestes versucht, um das Richtige zu tun.
Der praktische Ansatz, Sie haben die Sicherheitslücken gefunden und sie gewarnt. Wenn sie sie nicht reparieren wollen, ist das ihre Sache.
Vielleicht ist der Marketingleiter nicht die richtige Person, um mit diesen Informationen umzugehen. Sie können versuchen, Ihre diplomatischen Fähigkeiten zu nutzen und das obere Management zu kontaktieren. Aber beschuldige niemanden. Weil dies fehlschlägt.
Ich würde nichts an einen Konkurrenten verkaufen, denn das würde Ihnen sicherlich viele Schwierigkeiten bereiten.
Ich habe ein ähnliches Szenario in der Vergangenheit. Obwohl ich über das Loch stolperte anstatt bezahlt zu werden, um einen Pen-Test oder ein Sicherheitsaudit durchzuführen.
Ich war ernsthaft versucht, Details an unsere Staatszeitungen und dann an die vollständige Offenlegungsliste (zusammen mit den Regierungskontakten) zu senden, als nach zwei Jahren keine Maßnahmen ergriffen wurden, aber entschieden, dass die Daten einfach zu riskant waren (potenziell) bösartige Menschen.
Harte Wahl obwohl.
Wenn es eine private Organisation ist und Sie glauben, dass Sie die Bedingungen Ihres Vertrags mit ihnen erfüllt haben, würde ich sagen, dass Sie alles getan haben, was Sie können.
Wenn es jedoch eine Organisation ist, die auf irgendeine Art und Weise öffentliche Gelder erhält, würde ich ihnen vorschlagen, ihnen eine weitere Chance zu geben und dann zur (technischen) Presse zu gehen.
Tags und Links security