web-dev-qa-db-ja.com

Webアプリの(潜在的な)セキュリティの脆弱性を修正しない会社に対処する方法は?

約2週間前に、ジムでメンバーに関する情報を管理するために使用できるWebアプリケーションを偶然見つけました。これには、名前、請求先住所、生年月日、病歴などのデータが含まれます。私が訪問しているジム(ヨーロッパ)もこのアプリケーションを使用しているので、アプリケーションを詳しく調べました。私は法的な問題を回避するために深く掘り下げませんでしたが、これらは私が見つけた「問題」の一部です:

  • ログインは無限の試行を許可します
  • バックエンドからのJSON応答には、ユーザー名またはパスワードが正しくなかったかどうかの情報が含まれています
  • ユーザーパスワードはローカルストレージにプレーンテキストで保存されます
  • プロフィール写真には無制限のファイルアップロードがあります
  • 古いPHPバージョンが使用されています
  • 例外をスローする複数のバックエンドがあります(これにより、PHPフレームワークが使用しているフレームワークを見つけることができます)
  • セッションIDは上書き可能(セッション固定)
  • 入力の検証がないようです。彼らはReactを使用しているため、XSSはそれほど簡単ではありませんが、それでも可能です

誰かが本当に時間をかけてこれらの潜在的な脆弱性を悪用しようとしない限り、これらすべては私にとって超重要ではないようです。私の知る限りでは、データベースには20,000人以上の顧客が保存されています。また、すべての顧客データは、このアプリケーションを使用しているすべての異なるジムの1つの大きなテーブルに格納されているようです。

顧客に関して保存されているデータの種類は非常に個人的なものであり、悪意のある手に渡ってはいけません。そこで私はこの会社に匿名で連絡し、私の懸念について彼らに話しました。彼らは数日前に私に応答し、彼らはすべてを修正したと述べました-しかし私はそれをチェックしました、そして基本的にこのウェブアプリケーションでは何も変更されませんでした(まだ同じ脆弱性です)。

これが私の質問です:どうすればよいですか?もう一度チャンスを与えるべきでしょうか、それとも何らかのデータ保護機関に連絡を取るべきでしょうか?また、これらの問題/脆弱性は重大だと思いますか? (すでに言ったように:あまり深く掘り下げなかったが、セキュリティの知識が限られていても、ほとんどのユーザーデータを数日で手に入れることができると思う)

web-applicationsensitive-data-exposure
18
Moritz W.

彼らにもう一度チャンスを与えるべきですか

はい。通常、数か月待ってから、開発会社と何度か連絡してから、さらにアクションを実行します。

会社が問題を修正する意思がないことを示している場合、可能な次のステップは 問題を公開する です。

または、何らかのデータ保護機関に連絡しますか?

これは良い考えです。私はこれについての経験はありませんが、あなたは少なくともあなたが見つけたものをそのような当局に知らせ、会社と次のステップについて話し合っているでしょう。

そして、あなたはこれらの問題/脆弱性を重要だと思いますか?

いいえ、ただし、システムを保護するために何も行っていないことを示しているため、より深刻な脆弱性が存在する可能性があります。

12
Sjoerd

これらは非常に重要ではありませんが、私は個人的に 責任ある開示 を求めます。

簡単に言うと、脆弱性について彼らに通知し、修正したかどうかに関係なく、x日後に公開することを伝えます。

Googleには90日間の開示ポリシーがあります 、これは今日ではかなり標準的なようです。

この考え方は次のとおりです。

  • あなたは会社に物事を修正するための合理的な時間枠を与える
  • また、彼らに責任を持たせ、適時に修正するよう圧力をかけます

あなたは明らかに彼らのセキュリティ担当者に直接連絡を取り(もしあれば)、可能であれば彼らを助けようとするべきです。ただし、反応せず、時間内に修正できない場合は、公開します。公開の代わりに、または公開に加えて、特に反応がない場合は、適切な機関に連絡できます。

これがヨーロッパである場合、個人データを適切に保護していないためにGDPRに違反します。監督当局に連絡すると、罰金や不愉快な質問が表示される可能性があります。

匿名を希望する場合は、確立されたinfosecの専門家に連絡して、彼らが公開されるかどうか、またはあなたに助言するかどうかを確認することもできます。

パブリッシュ(ツイートによっても)には、自分の名前を作成できるという副作用もあります。

これで困ることはありますか?

もちろん、企業は開示に満足できず、研究者やジャーナリストに対して 合法的に報復する を試みる可能性があります。

法律の範囲内に留まれば、この種の訴訟から首尾よく弁護することができますが、それは彼らがあなたに大きな問題を引き起こさないという意味ではありません。

法律に関する限り:許可されるものとされないものは、世界のさまざまな部分で大きく異なる場合があります。あなたの地域の法律が何であるかを確認する必要があります。ほとんどの西欧諸国ではセキュリティ研究が許可されていますが、実際に機密データにアクセスしたり、システムを妨害したりすることは許可されていません(概念実証としても)。

いくつかのオプションは次のとおりです。

  • 公開するときは匿名のままにします(ただし、自分のIDを保護する方法を知る必要があります)
  • ジャーナリストにチップを渡す。彼らはあなたを情報源として保護しますが、彼らがあなたの事件に興味があるという保証はありません
  • 当局に通知しますが、事件についてフォローアップする保証はありません。
  • これを専門的に行う研究者(またはチーム)にチップを渡します。彼らには経験と法務部門がいる
  • そもそもセキュリティ研究者に「安全な避難所」を提供している企業に固執してください。

とはいえ、最近の企業の大多数は誠実なレビューを高く評価しているようであり、多くの企業が公の称賛や賞金を与えることさえあるでしょう。

注:一部の企業は報奨金を提供しますが、見返りとして、あなたが彼らの許可なしに公開しないことに同意することを望みます。研究者がそのような条件に拘束されるのではなく、賞金を拒否することは珍しいことではありません。

7
averell

セキュリティ監査は、ハッキングの試みと解釈される可能性もあるので、彼らが要求せずにセキュリティ監査を実行することはできません(これは、誤ってそれを見つける以外の何かです)。これをGoogleのポリシーと比較すると、これは非常に悪い比較です。Googleはそのための報奨金を提供します-彼らは文字通りそれを要求します-彼らは可能な攻撃ベクトルを識別するために1つを支払います。

個人を特定できる情報の取り扱いに不快感を覚える場合は、メンバーシップをキャンセルして erasure を要求してください。これは、一般データ保護規則(GDPR)に基づく権利です。その法的枠組みの中で、彼らはおそらく法の遵守を保証する責任がある、いわゆる「データ保護担当官」である [〜#〜] dpo [〜#〜] を指名する必要がありました。 。

顧客データベースを閲覧し、証拠としてスクリーンショットを撮ることができない場合を除き、意味のある何かに時間を費やして...フォレスト内を匿名でジョギングするのと同じように、無料でプライバシーの問題を回避します。

0
Martin Zeitler