web-dev-qa-db-ja.com

他人のWebサイトのセキュリティ問題を処理する方法

数週間前に、あるWebサイトの管理者アカウントの詳細が誤ってパブリックWikiに投稿されていることがわかりました。データが本物であることがわかった(つまり、Wordpressが運営するWebサイトにログインできる)ため、すぐに次のことを行いました。そのWikiから機密データを削除し、そのページのすべてのリビジョンを完全に削除するようにWiki管理者に依頼し、管理者にメールでそのことを通知し、できるだけ早くパスワードを変更するように依頼しました。

さらに悪いことに、セキュリティの問題はWebサイトだけでなく、2000人近くのユーザーの個人データにも関係しています。さらに、このWebサイトは、注目を集めるITイベント(ITセキュリティに関するイベントを含む)を整理することを目的としています。

現在は3週間後ですが、何も起こりませんでした(つまり、返信も管理者もパスワードを変更しませんでした)。私が管理者だった場合、私は何をすべきか知っています。しかし、管理者が問題を専門的に処理しない場合に、この状況にどのように対処しますか?これまでのところ、私は彼らに2回目のメールのみを今日送信します。

私は3つのことを考えることができますが、ここで合法的に安全な側にいるかどうかはわかりませんか?

  1. すべてのユーザーにメールで問題を通知します。
  2. 「このWebサイトは危険にさらされています」のような彼らのホームページにブログ投稿を書いてください。 (私はそれをするように誘惑されています。他に何も変更せず、ユーザーベースが問題について知る必要があると感じているので、それは道徳的に問題ないと感じています。しかし、私がそうした場合、問題が発生する可能性があるかどうかわかりませんそれ?)
  3. それについて 連邦取引委員会 に通知します。 (ウェブサイトは米国に基づいています。)

私が法的および道徳的に許可され義務付けられていることについて何かアドバイスはありますか?

legaldisclosureprivacyethicsincident-response
19
selfthinker

法的助言については、弁護士を探す必要があります。一部の国では、自分のものではないアカウントで「テスト」ログインを行うことはすでに違法です。

どうする?

IT部門が応答せず、問題を解決しない場合は、会社の他の人々に連絡する、特に上層部の管理者、広報、顧客関係、高レベルのサポートに努める必要があります。

CERTに連絡あなたまたはその会社に責任があります。彼らは適切な人々から注目を集めるのに多くの経験を持っています。したがって、この場合は S CERT です。

Bugtraqメーリングリストのモデレーターも役に立ちました。

その他のアイデア

紙のメールは、特に配達確認の付いた紙のメールの場合、電子メールよりも注意を引く可能性があります。

あなたはそれらに到達しようとすることができます電話で。これがおそらく最も効率的な方法ですが、後で脅迫しようとしたと彼らが主張できないことに注意してください。

相手に連絡が取れない場合の最後の手段として、xxx​​x-xx-xx(今から2週間後)に公開メディア経由で連絡するを試みることを伝えます。ただし、繰り返しになりますが、レポートが受信されたことの確認だけが必要であることを明確にしてください。

メディアをすぐにに連絡することができます。ストーリーを公開する前に、その会社に連絡することを事前に同意する可能性があります。

あなたは確かにブログ投稿をすることを含め、彼らのウェブサイトで管理者アカウントを乱用してコンテンツを変更しないにするべきです。

あなたが自分のブログ投稿として自分の側に公開する場合は、そのwikiのユーザーページでopen letterの形式で行います。会社はこれまでに失敗したため、最終的にその会社によって通知されることを期待してこの手紙を発行しています。おそらく、あなたは個人データが危険にさらされている人々に警告するよう倫理的に圧力をかけられていると感じるので、あなたが公開することに決めたと付け加えます。そして、元のメール。詳細を編集することをお勧めします(例:パスワードと、Wikiページがまだ履歴にある場合は、その名前)。

14
Hendrik Brummermann

この場合、私は ハンロンのかみそりを呼び出したくなります。愚かさで十分に説明される悪意のせいにしないでください。 彼らはおそらく悪ではないでしょう、彼らはその管理者アカウントを外部のWebデザイナー/会社を辞めた従業員/他の監視されていない電子メールアカウントに送っているだけかもしれません。

私の提案は:

  • 電話で彼らに電話し、経営陣の誰かに連絡を取ってみて、何が問題なのかを分かりやすい簡単な言葉で伝えてください。

  • ここスカンジナビアでは、企業や財団などの公的な登録簿があります。この登録簿はオンラインでアクセスでき、取締役会のメンバーの住所を見つけることができます。同じことができる場合は、電話をかけるか、問題を説明する手紙(紙のメール)を送ってください。また、ウェブマスターに連絡しただけで2回試したことがあることを確認してください。これは確かに彼らの注意を引くはずです。

あなたの個人的な感情が何であるかに関係なく、私は公の屈辱が正しい答えだとは思いません。彼らの振る舞いを恥ずかしく思っているわけではない。それ以上です:

  • パブリックディスプレイは、悪意のあるユーザーがセキュリティをクリーンアップする前に、システムをさらに侵害するように誘う可能性があります。
  • サイトの所有者は、自分の過ちから注意をそらすために、積極的にあなたを責めたくなるかもしれません( これがその一例です )。
8
Jesper M