Špatně zabezpečené weby – "jak na majitele", vyplatí se je informovat?

27. 6. 2016 12:03:15

Zdravím,

mám takovou možná hloupou otázku, ale dostal jsem se do kontaktu s člověkem, který dokáže najít bezpečnostní chyby internetových obchodů případně online služeb kde si člověk něco objednává a spustil tím tak debatu co s tím. V minulosti našel bezpečnostní chybu na jednom z největších eshopů u nás, trouba tam zavolal, oni poděkovali a po 48 hodinách to opravili. Mezitím se dokázal hrabat mezi objednávkami apod.

Narazil i na podnik, který má také díru na webu a může si tak stáhnout kompletní databázi zákazníků.

Otázkou je jak na majitele? Informovat je "bezplatně" je docela o ničem. Nechat to být? Nahlásit to na úřad pro ochranu osobních údajů?

Posílal mi nějaké screeny a je to masakr. Jak byste s tím naložili vy?

Pavel

27. 6. 2016 12:03:15

https://webtrh.cz/diskuse/spatne-zabezpecene-weby-jak-na-majitele-vyplati-se-je-informovat#reply1205944

tomve

(22 hodnocení)

27. 6. 2016 12:10:58

Bezplatně, pak se může dostat do konfliktu s paragrafem vyhrožováním / vydíraním. A to pak záleží kolik platíš advokátovi.

Pokud v IT bezpečnosti neděláš a chceš toho jen využit, tak toho nech.

Kdyžý se objeví bezpečnosti bug, tak se napíše vlastníkům, dá se jim 30 dnů nebo pokud dřív neodepíšou, pak se informuje blogpostem veřejnost.

Třeba ti vlastník webu dá odměnu třeba ne, každopádně si děláš renome.)

27. 6. 2016 12:10:58

https://webtrh.cz/diskuse/spatne-zabezpecene-weby-jak-na-majitele-vyplati-se-je-informovat#reply1205943

(20 hodnocení)

27. 6. 2016 12:14:54

Je to white hat hacker, mel by se tak chovat, tedy oznamit a kdyz bude mit stesti, dostat treba odmenu... Chce-li za to dostat zaplaceno vždy, tak at dela bezpecnostni poradenstvi a penetration testy za uplatu. Zadny system neni neproniknutelny, takze fakt zalezi jen na tom jak moc do hloubky je schopny jit, jsou firmy co nabizi verejne odmeny za nalezeni podobnych chyb, muze se treba venovat i jim... Ale pokud jen projizdi weby na SQL injectiony a podobne jendoduche veci, tak z toho asi moc nekapne, to zvladne kazdej druhej clovek co si o tom neco precetl...

27. 6. 2016 12:14:54

https://webtrh.cz/diskuse/spatne-zabezpecene-weby-jak-na-majitele-vyplati-se-je-informovat#reply1205942

Jan Kuthan

(48 hodnocení)

27. 6. 2016 12:38:20

Informovat z anonymního účtu a dál neřešit, lidi jsou svině - osobní zkušenost :)

Pokud se tím někdo živí, mít dopředu smluvně ošetřeno "co by, kdyby".

27. 6. 2016 12:38:20

https://webtrh.cz/diskuse/spatne-zabezpecene-weby-jak-na-majitele-vyplati-se-je-informovat#reply1205941

Pavel Jílek

(81 hodnocení)

27. 6. 2016 12:50:45

Proto jsem zalozil i tohle vlakno, protoze je to podle me neeticke, ale soucasne jsem hledal nejaky postup. Resit to nebudu a doporucim tomu klucinovi zamerit se na neco jineho..

27. 6. 2016 12:50:45

https://webtrh.cz/diskuse/spatne-zabezpecene-weby-jak-na-majitele-vyplati-se-je-informovat#reply1205940

Jan Kuthan

(48 hodnocení)

27. 6. 2016 12:56:18

Příklad:

- poptávka na testování bezpečnosti eshopu s audiobooks

- potvrzení spolupráce zdarma (baví mě to, chtěl jsem jen v případě úspěchu hodnocení tu na WT, byl nabídnut jeden audiobook free)

- nalezena závažná chyba -> přístup na ftp potažmo db

- oznámení -> několik dní prodleva

- fix chyby, programátor vyhodnotil chybu jako nekritickou

- vysvětlení z mé strany, že šlo o kritickou chybu

- vyhrožování právníkama ze strany zákazníka

:) a tehdy jsem si řekl....

27. 6. 2016 12:56:18

https://webtrh.cz/diskuse/spatne-zabezpecene-weby-jak-na-majitele-vyplati-se-je-informovat#reply1205939

(20 hodnocení)

27. 6. 2016 13:03:54

Tohle je moc jendoduchy pohled, to, ze nejaky, bez prominuti, kreten na WT tohle udelal, neznamena ze tov tomhle oboru tak chodi... Ten obor je dost lukrativni, ale clovek musi sakra umet :) Spousty firem co tohle nabizi jsou obycejni sarlatani, jinak receno podvodnici, co si stahli par testovacich toolu a nabizi to za velmi prijatelnou cenu (nasobne mene nez firmy s profesionaly), projedou web temi tooly, casto najdou jednu chybku nekde, protoze spousta firem ma deravy systemy i weby, nechaj si zapaltit a firma s pocitem bezpecnosti odchazi. To, ze to naslu jednu chybu z plus minus nekolika set, ktery ve skutecnosti v tom systemu jsou, to uz se nedozvi pac oni uz se prece testovat nechali, tak ted jsou zabezpeceny :D

27. 6. 2016 13:03:54

https://webtrh.cz/diskuse/spatne-zabezpecene-weby-jak-na-majitele-vyplati-se-je-informovat#reply1205938

TomasX

(4 hodnocení)

27. 6. 2016 13:04:51

jednoznačně zdarma nahlásit, často raději přímo na IT oddělení nebo provozovatele než na infolinku.

Problém v ČR (nevím jak jinde) je, že se jedná o trestní čin a společnost se s tebou může soudit (osobní zkušenost). I pokud mám dobré úmysly, musel jsem překonat určité zabezpečení a v tom je kamén úrazu, zákony nehodnotí jak obtížné bylo ho překonat, z hlediska práva jako zabezpečení může být klidně textové upozornění při přihlášení na otevřené ssh.

Kategoricky jsem proti stanovování lhůt na opravu, někdy je hlášení nedostatečné, někdy není oprava snadná nebo naopak zásiví na třetí straně (ne vždy se jedná o únik údajů a nutnost reagovat neprodleně, může jít třeba o DoS zranitelnost a její zveřejnění umožní jí použít proti subjektu).

Poslední dobou pozoruji poměrně dost podvodných bezpečnostních reportů, které reportují absurdnosti a chtějí za to peníze, není snadné pro menší společnosti se tím probrat.

27. 6. 2016 13:04:51

https://webtrh.cz/diskuse/spatne-zabezpecene-weby-jak-na-majitele-vyplati-se-je-informovat#reply1205937

Jan Kuthan

(48 hodnocení)

27. 6. 2016 13:08:31

Ono těch příkladů by bylo více, ale tenhle mě svoji absurditou naštval nejvíc :), je pak spousta lidí co poděkují popř. jsme i dál spolupracovali. Ale pocit člověka, kterému někdo napíše: testoval jsem váš web, máte tam možnost toho a toho

Každej bez výjimky je v první chvíli naštvaný. :)

27. 6. 2016 13:08:31

https://webtrh.cz/diskuse/spatne-zabezpecene-weby-jak-na-majitele-vyplati-se-je-informovat#reply1205936

(20 hodnocení)

27. 6. 2016 13:10:42

Ono taky jen tak hackovat weby a hlasit chyby neni to jak to ma fungovat... Proste chci-li v tomhle oboru opravdu delat a mam na to zkusenosti, tak se necham najmouit s radnou smlouvou a kdo o to ma zajem tak si to proste zaplati :) Kdo o to nema zajem ten at si pak resi jak se to stalo, ze zmizeli udaje o X tisicich klientech a web byl X hodin mimo provoz...

27. 6. 2016 13:10:42

https://webtrh.cz/diskuse/spatne-zabezpecene-weby-jak-na-majitele-vyplati-se-je-informovat#reply1205935

Jan Kuthan

(48 hodnocení)

27. 6. 2016 13:14:33

Napsal Aleš Jiříček;1303486
Ono taky jen tak hackovat weby a hlasit chyby neni to jak to ma fungovat... Proste chci-li v tomhle oboru opravdu delat a mam na to zkusenosti, tak se necham najmouit s radnou smlouvou a kdo o to ma zajem tak si to proste zaplati :) Kdo o to nema zajem ten at si pak resi jak se to stalo, ze zmizeli udaje o X tisicich klientech a web byl X hodin mimo provoz...

s tím mohu jen souhlasit :)

27. 6. 2016 13:14:33

https://webtrh.cz/diskuse/spatne-zabezpecene-weby-jak-na-majitele-vyplati-se-je-informovat#reply1205934

Salamman

(1 hodnocení)

27. 6. 2016 13:14:50

Já bych takového člověka zrovna potřeboval :-)))

27. 6. 2016 13:14:50

https://webtrh.cz/diskuse/spatne-zabezpecene-weby-jak-na-majitele-vyplati-se-je-informovat#reply1205933

hacktrack

(5 hodnocení)

27. 6. 2016 14:14:21

1/ diravych webu a vseho je okolo jako safranu..

2/ vetsina hlaseni a veci ktere jsem se snazil resit konci ve vetsine pripadu nutnostni podepsat mlcenlivost o tom co se stalo a co sem nasel a co

nebudu zverejnovat..

3/ tady je to zaostaly v zahranici je bezny ze jsou vyhlaseny bugbounty budto placeny nebo s odmenou nebo jen s hall of fame napr. pres 10 chyb jsem nasel

v ramci lovu na www.t-mobile.cz https://www.t-mobile.cz/bug-bounty/zed-slavy/

---------- Příspěvek doplněn 27.06.2016 v 14:17 ----------