web-dev-qa-db-ja.com

設定ミスのセキュリティ脆弱性の開示

誤って設定ミス(?)のセキュリティの脆弱性を発見しました。ワークステーション管理システムがデフォルトの認証情報で公開されています。管理者/管理者

システムには、ソフトウェアの展開、ワイプ、リモートデバイスコントロールなどの機能を備えた、2Kワークステーションが含まれています。

私は本当に会社に知らせたいのですが、それを行うための最良の方法は何ですか?

たとえば、hackeroneや類似のサービスを使用しても大丈夫ですか?メールを送信するだけですか?もしそうなら誰に?

そのログインの組み合わせを試しても、法律に違反しなかったかどうかはわかりません。製品のデモを探していたところ、検索エンジンでシステムを見つけました。

編集:私は開示についていくつかのトピックを調査しました。基本的にそれらのすべては、いくつかの丁寧な問題でベンダーに連絡することをお勧めします。問題は、すべてがベンダーおよび製品側から問題ないように見えることです。ユーザーは、資格情報を変更することによって、セキュリティのベストプラクティスに準拠していませんでした。

編集:これが重複しているとは思わない: 倫理的な方法でセキュリティの脆弱性を開示する方法?

私は次の理由でそれを考えます:複数の顧客に影響を与えるベンダーアプリケーションのバグとは関係ありません。これは基本的にシステムの設定ミスであり、基盤となるシステムが公開される可能性があります。彼らが使用している製品ですべてが大丈夫です。偶発的であったため、システムがホストされている国によっては、システムへのアクセスを禁止する別の法律規制がある可能性があります。これは単に道徳的な質問であり、私の個人的な意見では、影響を受ける会社に通知するのが正しいと感じています、スライドさせるよりも

5
user2917823

あなたはあなたの国のそれぞれのCERT(コンピューター緊急対応チーム)に連絡し、この問題について彼らに知らせてください。彼らは残りすべてを処理します。

直接連絡しないでください。重大な法的問題に巻き込まれる可能性があります。

0