gov関連サイトにセキュリティの脆弱性が見つかりました
だから私は私が見つけたものに対処する方法についてわからない。これは本当に単純なセキュリティホールですが、悪用されると大量の個人データが開かれます。
私は政府のユーティリティ(意図的にあいまいな)のWebサイトにアクセスしていて、パスワードの回復に問題がありました。新しいページをリクエストせずにセキュリティの質問の回答が無効であることがわかり、奇妙だと思ったので開発ツールを開いたところ、答えが正しいかどうかを判断するために完全にJavaScriptに依存していることがわかりました。確かに、関数は常にtrueを返し、パスワード変更画面が表示され、古いパスワードを必要としませんでした(笑)。パスワードを変更したところ、プロフィールに再びアクセスできるようになりました。自分の情報にアクセスするにはユーザー名だけが必要でした。
この問題についてウェブマスターにメールを送ろうとしました。応答なし。サイトであまり作業を行っておらず、SSN、銀行口座のルーティング/ acc番号、個人の住所などがすでにわかっているので心配です。
私は何をすべきか?他のアマチュアハッカーがすべての情報を入手して販売/漏洩したことを数か月後に知りたくありません。ありがとう!
連邦政府のWebアプリケーションに問題があった場合は、議員の事務所に連絡します。
彼らは政府のコンピュータシステムのセキュリティとプライバシーをますます認識し、懸念するようになっています。あなたは私たちの行き詰まり、非効率的な議会についてあなたが望むことを言うことができますが、彼らは彼らが資金を提供する様々な政府機関で物事を起こすのにかなり優れています。上で書いた内容、特に返答がないことを伝えます。
これで引き付けられない場合は、最終的に報道機関に連絡したときに、「議員」が「知っていたが何もしなかった」人々のチェーンにいることを彼らに知らせてください。
それらを呼び出してお金を要求することは危険な考えだと思います。
ほとんどの国には、連絡可能なコンピュータ緊急対応チーム(CERT)があります。たとえば、US-CERT、CERTオーストラリアなどです。通常、問題に対処するための適切な接続があります。開始するには、Google CERTと国名を合わせてください。
以前の政府契約のWebサービス管理者としての私の経験では、ほとんどすべてのサービスは、サービス自体の所有権を認識している連絡先担当者を指定する権限に従っています-連絡先情報はアプリケーションのどこかに表示され、実質的なセキュリティエラーは一般に、管理者またはエンジニアにエスカレーションすることで、期待するタイプの応答が得られます。これが機能しない場合は、親機関が問題を指示できるWebサービスの連絡先を持っている可能性があります。
将来的には、エクスプロイトではなく影響を受けるサイトを詳述することで、関連するヘルプを受ける能力が向上する可能性があります。これでジレンマに陥り、連絡先担当者を見つけるためにサイトを指摘することができなくなります。これを行うと、何か悪いことが起こった場合に潜在的に関与するからです。
e:投稿日を今日の4月15日と読み違えていたことに気づきました。上記の回答はおそらくまだ有効ですが、無視してください。