最近、リークされた会社のデータベースを見つけました。会社に連絡する方法がわかりません。これを報告するための情報セキュリティの連絡先メールの種類を見つけることができないので、それはとても奇妙です。ただサポートメールがあります。サポートメールへのリンクを送信するのに不安を感じています。
その会社からの情報セキュリティメール連絡先を求めるべきですか、それともどうすればよいですか?ちなみに、会社のサポートメールは、テクニカルサポートやセキュリティではなく、詐欺やカスタマーサポートのメールです。
また、漏えいしたデータベースの最良の洞察を提供するために従うべきテンプレートは何でしょうか?
明確にするために、私は、データベースの作成者である可能性が高いと思われる会社を所有または配布している、または会社と何らかの関係があるウェブサイトを侵入テストしていません。しかし、インターネット検索機能を使用しているときにデータベースを見つけました。特別なツールや計算方法は使用していません。私はすべてのデータベースまたはリークがどこにあるかを知っている魔術師ではありません。私はインターネット上に浮かんでいるはずのない場所でコンテンツに遭遇します。
データベースを見つける方法は合法であり、違法ではありませんでした。
非セキュリティ担当者にセキュリティ情報を提供しないでください。適切なセキュリティ担当者に依頼するには、利用可能なあらゆる連絡方法を使用してください。あなたがそれを理解する誰かを得るまで、あなたが見つけたものについての詳細を与えないでください。
次に、見つけたものの詳細を入力します。報酬を求めたり、何らかの行動を要求したりしないでください。ただ助けを提供し、対処する彼らにそれを任せなさい。
どのようなテンプレートが必要かわかりません。見つけた情報を見つけるために必要な情報/手順を伝えます。 「脚本」のように聞こえると、詐欺師のように聞こえるかもしれません。人間であること。役に立ちます。
連絡先の詳細を見つけることができない場合の1つのオプションは、自分またはエンティティの国のCERT(コンピューター/サイバー緊急応答チーム)に連絡することです グローバルCERTのリスト 。これらの組織は、通常、適切な人々と連絡をとる方法を持っています(影響を受けるエンティティと国内当局内)。
少なくともオーストラリアでは、AusCERTおよびACSC(オーストラリアサイバーセキュリティセンター)からの連絡は、ランダムで未知の人物からの連絡よりも真剣に受け止められる可能性があります。 記事 AusCERTで赤十字オーストラリアのデータベースリークを処理した経験についてのトロイハントによるAusCERTのパフォーマンスに関する彼の見解。記事全体を読むことをお勧めしますが、トロイの概要については、「AusCERTと赤十字によるインシデントの処理」までスキップしてください。
初期前提:調査結果は合法的に取得されました
あなたは彼らのセキュリティ連絡先が誰であるかを調査する必要があります。組織内の誰がセキュリティ違反の開示について連絡を取るべきでしょうか。それがどのように構成されているか(または構成されていないか)は、完全に組織次第です。また、あなたを無視したり誤解したりするのは完全に彼らの責任ですので、それを心に留めて期待を設定してください。
組織内(誰でも)の連絡先を見つけて直接話したり、パブリックチャネルで質問したりすることは、最終的に適切な人に連絡を取るのに役立つ方法です。
あなたが報告していることと、あなたがその発見をどのように伝えているかに注意してください。あなたは、彼らが拒否したり無視したりできる助けを提供しています。連絡先を作成し、ダイアログを確立し、可能であれば推奨事項を提示し、連絡先の技術レベルと、問題の学習と修正への関心を評価してください。
どれだけの努力をしたいのですか、なぜそれをしたいのですか?
労力が少ない、「私は彼らのことを気にしない。ただいい人になりたいだけだ」答え:自分に使い捨ての電子メールを送ってください。 「CISOまたは情報セキュリティの責任者に転送してください」で始まるサポートアドレスにメッセージを送信し、何が見つかったか、答えも補償も期待できないこと、さようなら、さようならを伝えてください。
なんらかの理由で気になった場合は、電話で連絡し、セキュリティ担当者に連絡してください。最初のレベルの人を追い抜くスキルがあり、彼らはあなたを払いのけてしまうかもしれません。もう一度やり直してください-あなたはおそらくコールセンターにいて、2回目に別の人を迎えます。直接与えられるメッセージは同じである必要があります:何を見つけたのか、どこで見つけたのか(直接DBを送信せず、彼らが自分で見つけられる場所をポイントしてください!)、何の補償も期待できない、いい日。
非常に重要あなたが彼らを脅迫していないことを非常に明確に指摘していることです。 「私はあなたの秘密のデータを持っています」というメッセージは非常に簡単に脅威と見なされます。
高労力のソリューション:この会社のCISOは、LinkedInまたは別の専門的なネットワーク上にある可能性があります。そこで彼を見つけて、直接連絡してください。そうでない場合は、CISOやCEOに宛てて物理的な手紙を書いてください(CEOの名前は会社のディレクトリで簡単に見つけることができます)。物理的な手紙は依然として電子メールよりもはるかに真剣に取られており、アドレス情報は一般的に尊重されます。つまり、CEOに名前で宛てに送信された場合、コールセンターではなく秘書によって開かれますエージェント。
Troy Huntのような公平で有名な決済機関に情報を渡すことを検討してください。
https://www.troyhunt.com/ および https://haveibeenpwned.com/
そうすれば、完全に匿名のままでいることができます。
関連する管轄区域にCERT組織がない場合のもう1つのオプション(この投稿を読んでいる場合、いずれかの会社が同じ国に拠点を置く国に住んでいる可能性が高いです)で、次のことができます。会社の関係者に連絡する方法は他にもありますが、もっと注意する必要があるのは、情報セキュリティに特化した有能な中立ジャーナリストに連絡することです。ほとんどの企業は、漏らされたデータベースがぶらぶらしているのを発見したというメッセージで突然連絡をとる人を誰もいなかったら無作為に聞くのを嫌がります。ただし、ジャーナリストは、意味のある点でランダムな誰とも異なります。
注:有名な出版物と提携している有能な記者が間違いなく必要です。センセーショナル派のタブロイド紙や、政治的偏見の強いウェブサイトやテレビ局を選ぶべきではありません。ただし、すぐにThe VergeやThe Registerなどのサイトにアクセスする必要があるという意味ではありません。特に、少数の都市や小さな地域に重点を置いている小規模な企業では、関係する記者や出版物に精通している可能性が高いため、町の新聞や地元のラジオ局に行く方が賢明かもしれません。 。
最後の注意点の1つは、このルートはほとんど常に公開されてしまうリークで終わるということです。そのため、これは他のすべてが行き止まりに終わった場合の最後の手段としてのみ使用する必要があります。あなたはこの結果があなたが望むものであること、そしてそれを静かに保つよりも良い結果であることを絶対に確信する必要があります。確かに、このような記事が社会のすべてのレベルで非常に大きな問題を抱えている会社がいくつかあります。それが友情を台無しにし、結婚生活を終わらせ、人生を犠牲にするほどです。
この回答はウェブアプリケーションにのみ役立つため、投稿する前にためらいましたが、ここに属していると思います。
セキュリティ問題の報告方法を標準化しようとする取り組みがいくつかあり、データベースリークもその1つです。この提案はsecurity.txtと呼ばれ、私の知る限り、この論文は draft のままです。
security.txt
(単純に入力)これは、会社のWebサイトのルートに「security.txt」という名前のテキストファイルがあることで構成されます。例:example.com/security.txt
、.well-known
フォルダー:example.com/.well-known/security.txt
この問題は、セキュリティの問題を報告する方法について必要なすべての情報をこのファイルに置くことです。
この提案が広く採用された場合、特定の会社のセキュリティ問題がセキュリティ研究者によって発見された場合、彼はこの特定のファイルを探し、うまくいけばその対処方法(報告)を知ることができるはずです。
security.txt
の詳細