インターネット上で漏洩したデータベースを見つけた会社にどのように通知しますか？

連絡先の詳細を見つけることができない場合の1つのオプションは、自分またはエンティティの国のCERT（コンピューター/サイバー緊急応答チーム）に連絡することです グローバルCERTのリスト 。これらの組織は、通常、適切な人々と連絡をとる方法を持っています（影響を受けるエンティティと国内当局内）。

少なくともオーストラリアでは、AusCERTおよびACSC（オーストラリアサイバーセキュリティセンター）からの連絡は、ランダムで未知の人物からの連絡よりも真剣に受け止められる可能性があります。 記事 AusCERTで赤十字オーストラリアのデータベースリークを処理した経験についてのトロイハントによるAusCERTのパフォーマンスに関する彼の見解。記事全体を読むことをお勧めしますが、トロイの概要については、「AusCERTと赤十字によるインシデントの処理」までスキップしてください。

初期前提：調査結果は合法的に取得されました

あなたは彼らのセキュリティ連絡先が誰であるかを調査する必要があります。組織内の誰がセキュリティ違反の開示について連絡を取るべきでしょうか。それがどのように構成されているか（または構成されていないか）は、完全に組織次第です。また、あなたを無視したり誤解したりするのは完全に彼らの責任ですので、それを心に留めて期待を設定してください。

組織内（誰でも）の連絡先を見つけて直接話したり、パブリックチャネルで質問したりすることは、最終的に適切な人に連絡を取るのに役立つ方法です。

あなたが報告していることと、あなたがその発見をどのように伝えているかに注意してください。あなたは、彼らが拒否したり無視したりできる助けを提供しています。連絡先を作成し、ダイアログを確立し、可能であれば推奨事項を提示し、連絡先の技術レベルと、問題の学習と修正への関心を評価してください。

どれだけの努力をしたいのですか、なぜそれをしたいのですか？

労力が少ない、「私は彼らのことを気にしない。ただいい人になりたいだけだ」答え：自分に使い捨ての電子メールを送ってください。 「CISOまたは情報セキュリティの責任者に転送してください」で始まるサポートアドレスにメッセージを送信し、何が見つかったか、答えも補償も期待できないこと、さようなら、さようならを伝えてください。

なんらかの理由で気になった場合は、電話で連絡し、セキュリティ担当者に連絡してください。最初のレベルの人を追い抜くスキルがあり、彼らはあなたを払いのけてしまうかもしれません。もう一度やり直してください-あなたはおそらくコールセンターにいて、2回目に別の人を迎えます。直接与えられるメッセージは同じである必要があります：何を見つけたのか、どこで見つけたのか（直接DBを送信せず、彼らが自分で見つけられる場所をポイントしてください！）、何の補償も期待できない、いい日。

非常に重要あなたが彼らを脅迫していないことを非常に明確に指摘していることです。 「私はあなたの秘密のデータを持っています」というメッセージは非常に簡単に脅威と見なされます。

高労力のソリューション：この会社のCISOは、LinkedInまたは別の専門的なネットワーク上にある可能性があります。そこで彼を見つけて、直接連絡してください。そうでない場合は、CISOやCEOに宛てて物理的な手紙を書いてください（CEOの名前は会社のディレクトリで簡単に見つけることができます）。物理的な手紙は依然として電子メールよりもはるかに真剣に取られており、アドレス情報は一般的に尊重されます。つまり、CEOに名前で宛てに送信された場合、コールセンターではなく秘書によって開かれますエージェント。

Troy Huntのような公平で有名な決済機関に情報を渡すことを検討してください。

https://www.troyhunt.com/ および https://haveibeenpwned.com/

そうすれば、完全に匿名のままでいることができます。

関連する管轄区域にCERT組織がない場合のもう1つのオプション（この投稿を読んでいる場合、いずれかの会社が同じ国に拠点を置く国に住んでいる可能性が高いです）で、次のことができます。会社の関係者に連絡する方法は他にもありますが、もっと注意する必要があるのは、情報セキュリティに特化した有能な中立ジャーナリストに連絡することです。ほとんどの企業は、漏らされたデータベースがぶらぶらしているのを発見したというメッセージで突然連絡をとる人を誰もいなかったら無作為に聞くのを嫌がります。ただし、ジャーナリストは、意味のある点でランダムな誰とも異なります。

1. 彼らはより簡単に見つけることができ、彼らが話していることを知っていることを示すはるかに一般的なオンラインのフットプリントを持っています。
2. 彼らは彼ら自身と彼らの雇用者の両方を保護するという評判を持っているので、それが深刻であり、迅速な勝利のためにこれを行っていないというより良い印象を与えます。
3. 企業は違反を報告しているジャーナリストを無視しないように強く落胆しているため、彼らは効果的な対応を得る可能性が高くなります。企業が持つことのできる最悪のPRの悪夢の1つは、ハッキングされている企業データベースとPIIが誰にでも公開されていることを説明する新聞の記事であり、段落の1つに、企業が何回も連絡なしに連絡された方法が詳しく説明されています。

注：有名な出版物と提携している有能な記者が間違いなく必要です。センセーショナル派のタブロイド紙や、政治的偏見の強いウェブサイトやテレビ局を選ぶべきではありません。ただし、すぐにThe VergeやThe Registerなどのサイトにアクセスする必要があるという意味ではありません。特に、少数の都市や小さな地域に重点を置いている小規模な企業では、関係する記者や出版物に精通している可能性が高いため、町の新聞や地元の​​ラジオ局に行く方が賢明かもしれません。 。

最後の注意点の1つは、このルートはほとんど常に公開されてしまうリークで終わるということです。そのため、これは他のすべてが行き止まりに終わった場合の最後の手段としてのみ使用する必要があります。あなたはこの結果があなたが望むものであること、そしてそれを静かに保つよりも良い結果であることを絶対に確信する必要があります。確かに、このような記事が社会のすべてのレベルで非常に大きな問題を抱えている会社がいくつかあります。それが友情を台無しにし、結婚生活を終わらせ、人生を犠牲にするほどです。

この回答はウェブアプリケーションにのみ役立つため、投稿する前にためらいましたが、ここに属していると思います。

セキュリティ問題の報告方法を標準化しようとする取り組みがいくつかあり、データベースリークもその1つです。この提案はsecurity.txtと呼ばれ、私の知る限り、この論文は draft のままです。

security.txt（単純に入力）

会社のために

これは、会社のWebサイトのルートに「security.txt」という名前のテキストファイルがあることで構成されます。例：example.com/security.txt、.well-knownフォルダー：example.com/.well-known/security.txtこの問題は、セキュリティの問題を報告する方法について必要なすべての情報をこのファイルに置くことです。

セキュリティ研究者向け

この提案が広く採用された場合、特定の会社のセキュリティ問題がセキュリティ研究者によって発見された場合、彼はこの特定のファイルを探し、うまくいけばその対処方法（報告）を知ることができるはずです。

security.txtの詳細

• https://securitytxt.org/
• https://github.com/securitytxt/security-txt
• Github、Google、Facebook、およびRedditのような一部の大企業は、すでにこの規則を採用しています。
  • github.com/.well-known/security.txt
  • google.com/.well-known/security.txt
  • facebook.com/security.txt
  • reddit.com/security.txt