web-dev-qa-db-ja.com

セキュリティの脆弱性が見つかりました。どうすればよいですか?

重複の可能性:
倫理的な方法でセキュリティの脆弱性を開示する方法?
脆弱なサイトの報告

私のアカウントに送金できるセキュリティの脆弱性を発見しました。

私は今どうすればいい?バグを見つけた会社から支払われますか?彼らがそのバグに対していくら払うのかを私に言う前に、またはその後にそのバグを彼らに報告するべきですか?

Customer careまたはそれらのSalesメールアドレス?とにかく私は彼らに何を伝えるべきですか?

詳細を提供せずに、そのバグの存在を共有することはできますか?

問題は、私が未成年なので、このことについて何も知らないことと、私の年齢のために彼らが私を信じないことを恐れることです。

私がやったこと:私は彼らにバグをメールで送っただけで、当時は大人にこれを知らせていませんでした。バグはかなり速く修正され、その時点で約200ドル相当の非常に小さな報奨金をくれました。

今日私がすること:もう私は未成年者ではありません(ああ、私は年をとっています)。私は侵入テスト会社などに連絡を取り、システムのチェックに興味があるかどうかを尋ねます。何かを見つけられず、それを介してバグを開示しなければ、彼らは何も支払う必要がないと彼らに伝えます。彼らが拒否した場合、通常は正しく行われません。匿名で彼らに連絡し、バグを開示します。

7
noob

あなたがこのバグから合法的にお金を稼ぐことができるとは考えられません。あなたがそれからたくさんのお金を稼ぐためにいくつかの計画を考えているならば:一歩離れて、少し時間をとってください。脆弱性の報告に対する補償を要求しようとすると、ハッキングまたは強要の罪で起訴されるという重大なリスクがあります。

米国では、ハッキングは違法であることに注意してください。 法律は非常に広い であり、多くの人が違法であると気づかないかもしれないあらゆる種類のものを禁止しています。どのようにしてバグを発見したのかはわかりませんが、これまでに行ったアクション(バグを発見するなど)が違法となる可能性が高いと心配しています。バグを発見するためのあなたの行動が、間違いなく、法律に違反した場合、そして 会社を怒らせたり、一般的にジャークのように振る舞う場合 (たとえば、補償を要求することにより)、連邦検察官を呼び出し、連邦法に違反したとして起訴するよう検察官を説得します。あなたは本当にそのような立場になりたくないのです。

一般に、企業がセキュリティバグを報告する人に補償を与えることはまれです。いくつかの企業(Googleなど)は、「バグ報奨金」プログラムを実施しており、プログラムの下で深刻なバグを報告する人々に数百ドルまたは数千ドルを支払うことを約束しています。しかし、ほとんどの企業はそのようなことを何もしていません。

一般的に言えば、これが私のアドバイスです:

  • このサイトをハッキングしたり、ハッキングしようとしたことはありますか?不正アクセスまたはサイトへの攻撃の試みとして特徴付けられる可能性のある何かを試みましたか? (たとえば、SQLインジェクションに対して脆弱かどうかを確認するために単一引用符を入力して、<は、XSSなどに対して脆弱かどうかを確認します。そうである場合は、ここで終了します。自分で脆弱性を開示しないでください。お金を稼ぐことについての考えをあきらめます。道徳的に正しいことをしたい場合は、信頼できる大人に連絡して、身元を公開せずに、代わりに脆弱性を報告するよう依頼することができますが、支払いは期待できません。

  • 未承認のアクセスまたはサイトへの攻撃を試みるものとして特徴付けられる可能性のある行為を一度も行ったことがないと確信しており、これまでに行ったことがない場合は連邦法(CFAAなど)の違反として扱われる可能性が高いと確信している場合次に、必要に応じて、サイトに脆弱性を報告する方法を検討できます。しかし、これからお金を稼ぐことを期待しないでください。補償を要求しないでください。脅迫しないでください。バグを公開する条件として補償を要求しないでください。補償を期待しないでください。お金を稼ぐことを期待してそれをしているなら、やめましょう。恐喝で非難されたくないので、脇に置いておきましょう。

    この脆弱性を公開したい場合は、長年にわたって専門的なビジネスのコンテキストで働いてきた信頼できる人物を探します。脆弱性の開示を手助けするように依頼してください。脆弱性を説明する手紙や電子メールを書くのを手伝ってくれるように依頼してください。 (この脆弱性は、電話または直接ではなく、電子メール、書面などの書面で開示します。)また、これを行う前に、このスレッドとこのサイトの次のスレッドを読んでもらいます。

    他の人にあなたにこれを開示してもらうように勧める理由は、誤解の大きな機会があるためです。ビジネスで働いた人に手紙の作成を手伝ってもらい、それが真剣に受け取られていることを確認し、会社があなたを脅迫として扱っていないことを確認し、訴訟や起訴の脅迫を受けてあなたを追いかけ始めたいとします。大企業には、会社の経済的利益を保護するためだけに存在する弁護士でいっぱいの法務部門全体があります。彼らがあなたを脅威だと認識した場合、彼らはあなたが会社を困らせるのを防ぐために彼らがしなければならないあらゆる法的資源を使うかもしれません。ビジネスのコンテキストでより多くの経験を持つ誰かがあなた自身を保護するのを助けることができます。

しかし、肝心なのは、動機を確認することです。脆弱性を会社に報告する唯一の理由は、「それを行うのが正しいこと」であり、他者のためです。あなたはこれからお金を稼ぐ可能性は低いです、私はこれを言うことを恐れています。あなたがお金を稼ぐ目的でこれをしていることに気付いたら、止めてください。別のことをしてください。お金を稼ぐ目的でこれを行っている場合、リスクが高すぎて、訴訟、刑事訴追、またはお金を稼ぐことを妨げるだけでなく、あなたの人生を地獄にする何かにぶつかるでしょう。 セキュリティ研究者が「ハッキング」で起訴された他のケースが多すぎます 、彼らがセキュリティ脆弱性を報告または公表しようとしただけの場合(金銭的利益のためにそれを悪用しようとさえしていない)。

追伸これが ダンカミンスキーの非公式で、あまり真面目に受け取られていない、今日の物事の傾向の要約

White Hat Hacker Flowchart, from Dan Kaminsky

15
D.W.