どのような場合に、アプリケーションはブルートフォースに備えるべきですか?
今日、私はアイデアを思いつきました。私は、ブルートフォースを使用して、我が国の大学からデータを取得できると考えていました。
私の考えは真実であることが判明しました。攻撃者はブルートフォースを使用して機密情報を明らかにすることができます。
この大学のWebサイトなど、アプリケーションのブルートフォースに対する保護はどの程度強力である必要がありますか?
私の場合、これについて適切な人に通知して、適切な方法で対処できるようにすることを考えています(彼らはまったく気にしないと思いますが)。
私の国の法律によれば、この大学から入手できる情報を入手して操作することは違法です。
私は次のシナリオを考えています:私はおそらくそのウェブサイトの世話をする人々を発表するでしょう、そして多分彼らは言うでしょう:私たちを攻撃することはとにかく違法です-彼らはまだ私の報告を気にするべきですか?
これはとにかく違法です-彼らはまだ私の報告を気にする必要がありますか?
まさにその通り。
そのような例の今では長いシリーズの1つを与えるために、Yahooハック(の1つ)を考えてみましょう。たとえば、2016年後半に報告された 10億アカウントハック ( Krebsの報道も参照 )。
「これはとにかく違法である」理由をすばやく説明することは、正当な対応ではありません。
- Yahooはいくつかの機密データ(この場合、ユーザーの電子メール、パスワードなど)を盗まれましたが、それでもYahooにはハッキングを発表(および調査)する義務があります。
- その義務は、彼らのいずれかのフッターで説明されているように、財務報告にまで及びます ユーザーへの影響に関するプレスリリース :
当社の事業および業績に影響を与える可能性のある潜在的なリスクおよびセキュリティ違反の不確実性に関する詳細は、2016年9月30日に終了した四半期のフォーム10-Qに関する当社の四半期報告書の「リスク要因」のキャプションに含まれています。 SECに提出し、SECのWebサイト(www.sec.gov)で入手できます。
- 国によっては、報告義務が罰金やその他の法的または経済的影響に結びつく場合もあります(たとえば、 ヨーロッパ )。
これはすべて個人情報(PII)に焦点を当てる傾向がありますが、大学の場合、研究の喪失または盗難(特に特許で保護されていない場合)は大学の財政状態に影響を与える可能性があります。大学もPIIを保持していることは言うまでもなく、どのような種類のデータが漏洩した可能性があるかを判断するには、侵害を調査する必要があります。
私は弁護士ではありませんが、少なくとも調査が必要となる場合が多く(法的な結果を判断する必要がない場合)、報告書は(信頼できると感じられたと仮定して)、正確)注意を払う。
あなたが悪い(または過度に騒々しい)報告を提供する場合、それは彼らが無視するかもしれませんyour報告。しかし、違反の決定的な証拠が無視されるとしたら、私は驚きます。
セキュリティが悪いことは違法ではありません。しかし、通常、個人情報を扱う組織は、何らかの規制順守を必要とする活動にも参加しています。
たとえば、米国では、大学がクレジットカード情報を処理することがよくあります。つまり、クレジットカード情報はPCI-DSSに準拠している必要があります。医療情報を扱う場合は、HIPPAに準拠している必要があります。学生ローンを扱う場合は、FFIECに準拠している必要があります。政府情報を扱う場合は、ISO27000に準拠する必要がある場合があります。これらのそれぞれには、サイバーセキュリティの基準が含まれています。それらのいくつかは非常に具体的です、例えば。パスワードをハッシュする必要があり、(ブルートフォースを防ぐための)ロックアウトメカニズムが導入されていることを指定します。
大学がコンプライアンスに違反している場合、必ずしも違法であるとは限りません(米国ではありません)が、大学に影響を与える可能性があります。 Visaは、支払いの処理を許可しない場合があります。
組織がコンプライアンスに違反していることが懸念される場合は、電子メールを送信して、コンプライアンス担当者に転送するように依頼できます。