web-dev-qa-db-ja.com

灰色の帽子のハッキングの結果

異常検出システム(非常に人気のあるオンラインゲームサービスで詐欺師を見つける)に取り組んでいたときに、妥当な時間内にユーザーのパスワードを取得する方法を誤って見つけました。基本的に、異常検出システムを構築する全体のアイデアは、そのWebサービスのジョブに応募し、私の予備的なソリューションを提供することでした。

この脆弱性を見つけた後、CVだけでなく、検出システムにも適用して脆弱性を説明しようと考えています。しかし、ここに事があります:私は覚えています reading ヤフーで問題を見つけた男について=!それを報告して報われ、Facebookでこれを試して投獄されました。

刑務所は私にとって最良の場所ではないと思いますので、私は犯罪で起訴される可能性は何ですか?

心に留めておくべき

  • 私はその会社で働いていません
  • 私の主な目的は、私のチート予測分類子を完成させることです
  • 私が解読しようとした唯一のパスワードは、自分のダミーアカウントのパスワードでした
  • その会社で働きたい

PS:私は自分をはっきりさせなかったと思います。私は、人がゲームで不正行為をしているかどうかに関係なく、予測を行うために分類子に取り組んでいます。これはそのサービスの大きな問題なので、私は仕事に応募するつもりです。履歴書。誤って脆弱性を見つけて、報告する必要があるかどうか、また報告する必要がある場合はどのような問題に対処できるか考えました。 「ここに問題があります。ここにあなたがすべきだったと思います。必要に応じて、私はあなたのために働きたいのですが、セキュリティの専門家ではありません(私には知識がありません。これ)、しかしデータマイナーとして」。彼らが私を連れて行くかどうかに関わらず、私は基本的に気にしません。

それはシナリオとは関係ありません:「私はあなたのために働きたいと私はユーザーのパスワードを取得する方法を知っているので、私を拒否する前によく考えてください。」

30
Salvador Dali

-編集:この回答は、脆弱性の発見に基づいて仕事に応募するという考えに対処しました。 -

ユーザーのセキュリティのハッキングに成功したという事実の強さを適用した場合、仕事を得られない可能性が高くなります。誰かが私とのインタビューに向かって「ああ、ところで、私はあなたのシステムに穴を見つけ、それをハッキングしました、そしてこれが私の修正です」と言ったら私を信じてください、その人は建物の外に付き添われ、私は警察を呼ぶ。

彼らと彼らだけに脆弱性を完全に開示し、彼らと協力して問題を解決します。次に、より多くのセキュリティ作業のために雇われるという議論を開きます。仕事を得ることと脆弱性の開示を組み合わせると、それは恐喝の試みと解釈される可能性があります。

訴訟の可能性については、あなたの場所、その場所、テストしたWebサーバーの場所、違反の重大度、および(ある程度)影響を受ける組織の態度とポリシーによって異なります。

-

17
schroeder

質問について判断するのに十分な情報がここにはありません。管轄区域、およびセキュリティの欠陥を見つけた方法とそれをテストした方法、およびサービスの条件(コンピューターとデータの使用を許可する方法を定義)のすべてが重要です。一般に、「ハッキング」とは合法的または違法なものではなく、違法なものとは、ライセンスを取得していない方法で他の人のハードウェアまたはIPを使用することです。

あなたが彼らのハードウェアに対してエクスプロイトを実行しているなら、それは意図に関係なく侵入であり、彼らが本当に望めば彼らはあなたのためにそれを追いかけることができます。特定の目的のためにのみライセンスが付与されたデータを取得し、権限のない方法でデータを悪用した場合、管轄に基づいて、彼らがあなたを追跡する可能性もあります。ライセンスが関連付けられていない状態でデータが平文で提供され、そのデータを使用して独自のハードウェアでシステムを悪用する方法を見つけた場合、ハードウェアまたはライセンスデータを使用して判断しなかったため、おそらく安全です。ただし、これも管轄によって大きく異なる可能性があるため、お住まいの地域の法律を知ることが最善のポリシーであり、 [〜#〜] ianal [〜#〜] です。

それへの取り組み方に関する実際的なアドバイスについては。証明された脆弱性としてそれに近づかないことをお勧めします。確かにあなたのアンチチートシステムを提供することはプラスのように聞こえます。また、作業中に悪用される可能性のあるものを見たと思い、テストまたはテストを許可するように彼らに許可を求めることもできます。あなたが彼らと仕事を得るまで、またはあなたのアンチチートシステムの強さだけで断られるまでは、この脆弱性についてまったく触れないのがベストかもしれません。責任を持って報告されたとしても、欠陥が外部の当事者によってさらされたときに人々がどのように反応するかを予測することは本当に難しいです。可能性のある反応の多くは、拒否、怒り、疑いのいずれであっても、あなたの都合ではうまくいきません。

23
AJ Henderson

許可なくWebサイトやサービスの脆弱性を探すことは決して許されません。これは法律違反であり、当然のことです。

自分のシステムや実行中のソフトウェアの脆弱性を探すことは完全に合法です。他の多くの人々に影響を与えるゼロデイを簡単に見つけることができ、これであなたが望むものに合法である情報(あなたは自由に脆弱性の詳細を渡すことができますが、実際にはse認証なしでシステムを悪用することは別の話です)。公開してCVE番号を取得するか、落札者に販売する。

バグ報奨金プログラムを実施している企業はほとんどありません。 FacebookとGoogleは同じことを行っており、影響力の大きい脆弱性に対してはかなりの額を支払うことができます。

5
rook

Webサイトの使用が合法であるかどうかは、脆弱性を探しているかどうか、または脆弱性を見つけた場合でも完全に独立しています。重要なのは、あなたがウェブサイトをそれらの用語と一貫した方法で使用しているかどうかです。 それは問題ではありませんなぜあなたはそれをやっています。

たとえば、他の誰かのパスワードを使用してログインを試みることはおそらく許可されておらず、したがって違法です。ただし、間違いを探すためにページのJavascriptを読むことはおそらくが完全に合法です。しかし、何かを見つけた場合、見つけた脆弱性をテストしようとすると...まあ、おそらく再び違法に戻ってしまいます。

彼らがあなたに告発を押しつけるかどうかは彼らの決定ですが、法律を破ることにより、あなたは交渉するための悪い立場に置かれました。

さて、もしあなたが脆弱性を探すためにサイト所有者の明確な許可を得ているなら、あなたは再び法的側面に戻っています。著名な人物が発見したので、必ず書面で入手してください。

4
tylerl