責任ある開示と訴訟の提起
GoogleやFacebookなどの多くのWebサイトは、セキュリティの脆弱性を報告したことをサイトのホワイトハッカーに認めています。しかし、脆弱性レポーターにとって、それは法的な観点から安全ですか?また、レポーター自身がその脆弱性から「利益」を享受していないことを、企業がレポーターに「信頼」できる方法も。
私はGCIHについて読んでいます。ここでは、インストラクターが責任ある開示について案内していますが、脆弱性評価を実行する権限があることを最初に署名して承認する必要があります。 。
前もって感謝します !
セキュリティビジネスの難問へようこそ。なぜ、善人より悪者になる方が収益性が高いのか。
「訴訟を起こすこと」についてこれを覚えておいてください...訴訟を起こす正当な理由がないとしても、誰でも誰でも訴訟を起こすことができます。エンティティが、それと戦うためのお金を持っていないエンティティを訴えるためにお金を持っている場合、ほぼ自動的に失います。 50%以上の時間で、これらの事柄のいずれかで訴訟を起こされた場合、同時に州または連邦(またはあなたの国と同等)の犯罪当局または規制当局も撃退する必要があります。
これが常に不安が支配する理由であり、誰もそれを修正することを望んでいないと確信しています。
ここ米国では、不注意で問題を見つけて製品所有者に報告した場合でも、民事(訴え)の激怒に直面している可能性があり、DMCAなどに直面している可能性があります。うっかりとはどういう意味ですか?私は、ローカルマシンが動作が不安定で逆コンパイルしている、またはサードパーティからのソースコード(問題が見つかった場所)の問題であると私が思うことをデバッグしている可能性があります。覚えておいてください、それらは私のマシンに問題を引き起こしており、私はそれを理解しようとしています...それを見つけて報告するとすぐに、私はこの灰色の領域にいる可能性があります。
そして、私はそれ自体「ハッキング」すらしていません。
そのため、ルールは、公に開示することを実際に許可するために、ひどく不十分に書かれています。バグやセキュリティ上の問題を発見したい組織が非常にオープンで明確な「バグ報奨金」プログラムを作成し、非常に「オープンな着物」アプローチでこれを行っているのはそのためだと思います。
それらがない場合に私が見たのは、多くの研究者がすることをすることです...情報を組織に報告できる匿名アカウントをセットアップし、それが完了するまでそれを信用しないでくださいお世話になりました-あなたがFacebookをハッキングしているのでない限り、そうでしょう。 Facebookの顔に誰もが積極的かつ公的にハッキングしているようです:)。
非自発的侵入テストによってセキュリティの問題が報告されていることを企業が認める場合、彼らは本質的に、安全でないシステムが公に利用可能であることを認めています。さらに、非送信請求侵入テストはシステムへの攻撃であるため、システムと顧客のデータを保護するのを助けるために輝く鎧の騎士である可能性がありますが、法律を破ってそれに応じて検討することになります。
サイトで特定された問題について通知を受けることができ、「責任ある開示」のプロセスでサイト/事業主に通知する組織が存在します。つまり、問題の所有者に通知し、解決するまでの時間を提供します。解決しない場合は3か月後に通知し、応答/解決策がない場合は公開します。
あなたが指摘するように、それは多かれ少なかれ灰色の領域です。とはいえ、セキュリティ研究者が問題を引き起こしたり機密情報を公開したりせずにベンダーに脆弱性を開示した場合、ベンダーは研究者に対して訴訟を起こしたり刑事告訴したりする動機はありません。それらを解放するか、または0日を使用するのではなく?
(うまくいかなかったケースについては、「Weev」を検索してください...)