web-dev-qa-db-ja.com

私の古い仕事には、製品に大量のセキュリティエクスプロイトがありますが、彼らは気にしません

以前私が働いていた会社が、eコマースの部分も備えたPOSシステムを開発しました。そこで働いていたときに、セキュリティモデルに大きな欠陥があることを発見しました。

簡単に言うと、サーバー側の検証はありません。ログインしているかどうかに関係なく、すべてのユーザーは、自宅の快適さから、価格の編集、偽のトランザクション、タイムシートの混乱などのすべてを行うことができます。

私はこれを口頭で何度か報告しましたが、優先事項ではないためほとんど無視されました。

彼らはそれ以来顧客を拡大し、今ではかなりの数の顧客にサービスを提供しています。私は、エクスプロイトが数年前と同じように機能することを確認しました。

私はこの会社のために顔を救うことに興味がありません、彼らは私と他の多くの人を非常に貧しく虐待的に扱い、無給で時間外労働を強制しました、そして同様の違反。

このセキュリティ問題を報告する最良の方法は何ですか?クライアントにメールを送信しますか?または、攻撃を公開してインターネットで処理する必要がありますか?

編集:エクスプロイトが複雑でも不明瞭でもないことを付け加えたいと思います。ブラウザでdevtoolsを開いた人なら誰でも、その場でデータを編集できることを理解できるでしょう。

編集2:これらの応答をすべて読んだ後、POCを使用して匿名の電子メールを会社に送信します。また、お客様に報告する前に、問題を解決するために60日間の期間を提供します

disclosure
21
ItsNotMe

注意の言葉

あなたは何かをしようとすることに非常に投資されているようです。私が率直に言えば、会社があなたを従業員として扱った方法に対する欲求不満に少なくとも部分的に動機付けられているように思えます。これは理解できるかもしれませんが、必ずしも良い決定につながるわけではありません。特にあなたが言及する1つのオプション(顧客に連絡して問題を顧客に通知すること)は、それが正しいかどうかにかかわらず、それがどのように終了するかに関係なく、以前の雇用主によってあなたに対して訴訟が提起される可能性がある種類のものです。軽く踏みます。それを考慮したすべてのものはおそらく非常に悪い考えです。

(欠陥のある)ビジネスの視点を理解する

残念ながら、あなたが説明する状況はソフトウェア業界では珍しくありません。多くの企業の観点から、セキュリティ問題を提起することは、開発者の給与に関して実際のお金を費やして、長期間必要とされないかもしれない利益のために彼らが見ることができない問題を修正するように依頼することです誰かがそれらをハッキングしようとする前にしばらくしてください)。それは前払いのコストを伴う隠れた利点であり、それは近視眼的思考が長い間簡単に無視できるものです。結局のところ、彼らの観点から、あなたが大事にしていることは実際には問題を引き起こしたことはありませんが、修正するのに間違いなく多くの時間と労力を要するので、なぜすべきである彼らはそれを修正しますか? (私は彼らが正しいと言っているのではなく、思考プロセスを説明しているだけです)。

これは明らかにあなたの元雇用主が取っているアプローチであることを理解することが重要です。あなたは彼らに問題を知らせ、彼らはそれを無視することに決めました。インサイダーとしての変更に失敗した場合は特に、アウトサイダーとして実行できる(法的)アクションがそれを変えると考える理由はありません。もちろん、セキュリティの実践が悪いと、弱点を見つけて悪用することは避けられないことはわかっています。潜在的なセキュリティの問題を積極的に掘り下げるために時間を費やしている顧客がいない限り(そして、ほとんどの人は、気にしても適切に調べるための十分な知識がないため、そうではありません)、このような状況が驚くほど続く可能性があります実際に問題が発生するまでにはかなり時間がかかります。最悪のシナリオでは、これは equifaxセキュリティ違反 のような状況につながります。中小企業の場合 これは完全な破産につながる可能性があります

現実

それで、あなたはそれについて何をしますか?経営陣が問題を認識しているが変更を拒否する場合、おそらく変更を強制するためにあなたができることは何もないでしょう。これを顧客に報告するなど、あなたが言及したことを試すことができますが、顧客はあなたを真剣に受け止めないかもしれません。彼らはすべて、あなたが単にあなたの以前の雇用主に問題を引き起こそうとしている不満に満ちた元従業員であることを知っています。彼らがプラットフォームの使用を開始する前にこれらの事柄を調査するのに十分な知識を持っていなかった場合、彼らがあなたの主張を真剣に受け止めるのに十分知っていると考える理由はありません。多くの場合、あなたはただ無視されたり、訴えられたりするだけです。

(@forestの回答ごとに)CVEを送信する必要があります。また、サードパーティのバグ報奨金プログラムを介してバグを送信してみることもできます。 「独立したセキュリティ研究者」(別名:あなた)とバグ報告プログラムを持たないサイト(別名:元の雇用者)の間で中立的な調停者として行動するために、近年出現し、存在しているものもあります。もちろん、このようなプログラムは、バグを報告している会社が実際に聞く必要がある場合にのみ機能します。あなたはあなたの元雇用主がそうしないことをすでに知っています。ただし、標準チャネルを介して脆弱性を公開および無視すると、ハッキングされた顧客を長期的に支援できます。これにより、状況は単純な無能から完全な過失に変わり、民事裁判所ではさらに厳しい罰金が科せられます(FYI:IANAL)。

その他の(法的)オプションは、管轄によって異なります。ヨーロッパでは、GDPRを通じて法的措置をとる場所が見つかる場合があります。多くの場所では、法的問題をすぐに引き起こす可能性のあるオプションはおそらくないでしょう。彼らがハッキングされ、顧客が訴訟を起こすまで、ほとんどの場合それは起こりません。公開されたCVEがあると、それが発生したときに顧客を支援します。それまでの間、「インターネット」で何かを一般公開することを考えているようです。そこでの目標は何でしょうか?現実的には、そうしようとする試みはおそらくインターネットでは無視されます。ただし、結果としてはるかに早くハッキングされる可能性もあります。ただし、より標準的なチャネルを経由しないと、法的影響のリスクが劇的に高まるでしょう。したがって、私は個人的に公式チャンネルを維持します。

繰り返しますが、私はあなたを誤解しているかもしれませんが、あなたの質問は主に、元雇用主に腹を立てており、ある程度、トラブルを引き起こそうとしている誰かの場所から来ていると思います。これは、将来的に仕事を探す際に、法的な問題を抱えたり、少なくとも悪い名前を付けたりするのに適した方法です。元従業員の視点からこれを見るのをやめ、中立的なセキュリティ研究者の視点にもっと焦点を当てるべきだと思います。

22
Conor Mancone

CVEをリクエスト!

潜在的に大規模な違反を防止することにまったく関心がある場合は、絶対に何らかの方法で問題を開示する必要があります。脆弱なアプリケーションの開発者に連絡してこれを行うことができない場合は、問題に対して CVE割り当てを要求 する必要があります。残りはMITERが処理します。

8
forest

あなたはあなたの「古い仕事」を言ったことに気づきました。以下の私の答えはまだ有効ですが、社内の責任者との連絡がまだあるかどうかによって異なります。

問題を口頭で報告し、それが無視された場合は、書面で問題を報告してみてください。問題をエスカレートし、チェーンの上位にコピーします。セキュリティの修正にリスク、コスト、および利点を提供することで、管理者と話す必要があるかもしれません。これが他の項目よりも優先される理由を説明してください。悪用がいかに簡単かを示すために経営陣にデモンストレーションを提供することを申し出てください。誰かがそれを発見するとすぐに、会社の評判はひどく傷つけられることを指摘します。

おそらく、脆弱性を見つけるためにセキュリティ監査人を雇う会社のアイデアを売り込む方法を見つけることができるでしょう。あなたの経営陣がセキュリティの懸念に「ああ、ボブは再び何もないことを心配している」と答える可能性がある場合、彼らは監査人をより真剣にとらえるかもしれません。一部の法域では、企業が個人データを処理するために満たす必要のある法的要件があると確信しています。コンプライアンスに準拠していることを確信していないことを伝え、監査は、顧客が訴訟を起こす前に行う必要があります。 「私は弁護士ではありません」。

それでもうまくいかない場合は、最初に弁護士に相談し、弁護士があなたに平文であることを伝えない限り、クライアントにメールを送信するか、脆弱性を公開することをお勧めすることはできません。あなたが説明しているような会社は、状況を「ああ、これを修正しなければならない」とは思わないでしょう。むしろ「不満を抱いた従業員が私たちのビジネスを破壊しようとしているので、私たちは反撃する必要があります。」

社外からできること:

あなたがこの会社で働いていないことを読んだ後、私は別のアイデアを思いつきました:匿名であなたの会社の製品の興味のあるバイヤーを装い、あなたのデータが安全であることを確認することに非常に興味があることを示す質問をすることが可能かもしれません。彼らがセキュリティ監査を行っているかどうか、セキュリティ認証があるかどうか、彼らが従う規制など、そのようなことを尋ねます。うまくいけば、マーケティングの誰かが一般的な答えを作るだけでなく、開発者や何かを担当している誰かに尋ねるでしょう。彼らの疑わしいセキュリティ慣行のために、おそらく「売り上げを失う」ことは、彼らにとって優先順位をより高く押し上げるでしょう。

3
Tophandour

場所を開示していないため、会社はいくつかの法律に違反している可能性があるため、法執行機関に連絡することをお勧めします。特に、金融取引を行っているためです。通常、連絡した法執行機関は、代わりに実際に連絡すべき相手を通知します。これは、法執行機関の別の支部、消費者保護団体、または誰もいない可能性があります。

セキュリティの問題を一般市民またはそのクライアントに開示するか、そうすることを脅かすこと-不満を抱いた従業員のバックグラウンドを使用して-は、法執行機関を巻き込む別の方法です。避けたいもの。

0
Peter