Frage:
Wie informiere ich ein Unternehmen, bei dem ich im Internet eine durchgesickerte Datenbank gefunden habe?
Arkest Must
2020-05-26 14:34:35 UTC
view on stackexchange narkive permalink

Vor kurzem habe ich eine durchgesickerte Datenbank eines Unternehmens gefunden und weiß nicht, wie ich mit dem Unternehmen Kontakt aufnehmen soll. Es ist so seltsam, weil ich keine Art von Kontakt-E-Mail für Informationssicherheit finden kann, an die ich dies melden kann. Es hat nur eine Support-E-Mail. Es ist mir unangenehm, den Link zur Support-E-Mail zu senden.

Soll ich bei diesem Unternehmen nach einem E-Mail-Kontakt für Informationssicherheit fragen oder was soll ich tun? Übrigens ist die Support-E-Mail für das Unternehmen eher eine Betrugs- oder Kundensupport-E-Mail, kein technischer Support oder Sicherheit .

Was wäre auch eine gute Vorlage, um den besten Einblick in die durchgesickerte Datenbank zu erhalten?

Zur Verdeutlichung habe ich keine Penetrationstests für Websites durchgeführt, die Eigentümer oder Vertreiber sind oder haben jede Beziehung zu dem Unternehmen, die wahrscheinlich mögliche Urheber der Datenbank sind. Ich habe die Datenbank jedoch gefunden, während ich meine Internet-Suchfunktionen verwendet habe. Ich habe kein spezielles Werkzeug oder berechnete Methoden verwendet. Ich bin kein Zauberer, der weiß, wo sich alle Datenbanken oder Lecks befinden. Ich stolpere über Inhalte, die im Internet an Orten schweben, an denen sie nicht sein sollten.

Die Art und Weise, wie ich die Datenbank gefunden habe, war legal und nicht illegal.

** Gehen Sie vorsichtig vor! ** Ein kürzlich veröffentlichter Artikel für Ihre Überlegung.https://arktimes.com/arkansas-blog/2020/05/18/governor-shooting-the-messenger-wrong-tact-in-arkansas-pua-data-breach-experts-say.
@user10216038, damit die Leute den langen Artikel nicht analysieren müssen: Einige Organisationen sind so ausgeflippt, wenn sie über Verstöße informiert werden, dass sie auf die Person einschlagen, die sie als Ursache des Verstoßes informiert hat.A.K.A."den Boten erschießen".In dem Fall, in dem es um den Artikel geht, wurde auf der Website ein Fehler *** von einem Benutzer *** gefunden, und der Benutzer wurde verdächtigt, gegen die ordnungsgemäße Verwendung und die Cybergesetze verstoßen zu haben.
Dies fällt mir auch ein https://www.wired.com/2013/03/att-hacker-gets-3-years/
@DeanMacGregor Das ist jedoch eine ganz andere Situation.In fast jeder Hinsicht.Obwohl ich der Meinung bin, dass die korrekte Strafverfolgung von Apple und nicht von Weev gewesen wäre, hat er sich sicherlich keinen Gefallen getan, was er tatsächlich getan hat oder wie er sich danach verhalten hat.Zumindest ist es bestenfalls umstritten, zu behaupten, wie er / sie den Fehler aufgedeckt hat.
Ich auch in meinem eigenen Land https://www.numerama.com/magazine/28295-bluetouff-condamne-en-appel-pour-avoir-su-utiliser-google.html.In meinem Land würden Sie sich stattdessen wegen eines Verstoßes gegen die Datenschutzgesetze (Nichtschutz von Daten) an die Behörden wenden.
Scheint, als wäre es den Aufwand nicht wert.Ich würde einfach weitermachen.
@DmitryGrigoryev nein, es beantwortet meine Frage nicht.Da ich die Datenbank nicht durch eine Sicherheitslücke gefunden habe.Ich sage Ihnen freundlicherweise, dass Sie eine gute Person sind, um mir vorzuschlagen und zu empfehlen, die Frage und Antwort des von Ihnen gesendeten Links zu prüfen.
Sieben antworten:
#1
+94
schroeder
2020-05-26 15:06:18 UTC
view on stackexchange narkive permalink

Geben Sie keine Sicherheitsinformationen an Nicht-Sicherheitsleute weiter. Verwenden Sie eine beliebige Kontaktmethode, um nach der richtigen Sicherheitsperson zu fragen. Geben Sie keine Details zu dem, was Sie gefunden haben, an, bis Sie jemanden finden, der es versteht.

Geben Sie dann die Details zu dem an, was Sie gefunden haben. Bitten Sie nicht um Belohnung oder fordern Sie irgendeine Aktion, sonst werden Sie höchstwahrscheinlich nicht ernst genommen. Geben Sie einfach Hilfe und überlassen Sie es ihnen.

Ich bin mir nicht sicher, welche Art von Vorlage Sie benötigen. Geben Sie ihnen die Informationen / Schritte, die sie benötigen, um die gefundenen Informationen zu finden. Wenn Sie zu "scripted" klingen, klingen Sie möglicherweise wie ein Betrüger. Menschlich sein. Seien Sie hilfreich.

Um herauszufinden, an wen Sie sich wenden können, können Sie feststellen, ob sie [den security.text-Standard] (https://securitytxt.org/) übernommen haben, indem Sie am Ende "/ .well-unknown / security.txt" markierenWebsite-URL und prüfen, ob dort eine Datei vorhanden ist.
@anaximander scheint nicht einmal SE diesem Standard zu folgen
@lucidbrot wahrscheinlich, weil es kein Standard ist.Es gibt einen [Entwurf eines RFC] (https://tools.ietf.org/html/draft-foudil-securitytxt-09), der vor drei Monaten eingereicht wurde.Es ist ein vorgeschlagener Standard, von dem kaum jemand jemals gehört hat.Gute Idee.
@anaximander Aus Ihrem "Standard": 'Es ist unangemessen, Internet-Entwürfe als Referenz zu verwenden Material oder um sie anders als "work in progress" zu zitieren.Dieser Internet-Entwurf läuft am 28. August 2020 aus. '
@Nobody Ich bin mir bewusst, dass es immer noch ein * vorgeschlagener * Standard ist (hätte das wahrscheinlich klarstellen müssen), aber es gibt eine ganze Reihe von Websites, von denen ich weiß, wer ihn anwendet.Viele Dinge in diesem Bereich werden übernommen, bevor sie vollständig offiziell sind.
@AaronF `/ .well-unknown / security.txt` wurde erstmals im Dezember 2017 in [Version 01 dieses Internet-Entwurfs] (https://tools.ietf.org/html/draft-foudil-securitytxt-01) vorgeschlagenEs wird zum Beispiel von [der BBC] (https://bbc.co.uk/.well-known/security.txt) verwendet (obwohl ich damit einverstanden bin, dass es wenig verwendet wird, was eine Schande ist).
#2
+37
Aaron
2020-05-27 05:59:03 UTC
view on stackexchange narkive permalink

Wenn Sie kein Glück haben, Kontaktdaten zu finden, können Sie sich an das CERT (Computer / Cyber ​​Emergency Response Team) in Ihrem Land oder im Land des Unternehmens wenden. Liste der globalen CERTs. Diese Organisationen verfügen im Allgemeinen über Methoden zur Kontaktaufnahme mit den entsprechenden Personen (innerhalb der betroffenen Einrichtung und der nationalen Behörden).

Zumindest in Australien wird der Kontakt von AusCERT und ACSC (Australian Cyber ​​Security Center) wahrscheinlich ernster genommen als Kontakt von einer zufälligen und unbekannten Person. Ein Artikel von Troy Hunt über seine Erfahrungen im Umgang mit dem Datenbankleck des Roten Kreuzes in Australien mit AusCERT gibt seine Ansichten zur Leistung von AusCERT wieder. Ich empfehle, den vollständigen Artikel zu lesen, aber für Troys Zusammenfassung fahren Sie mit "Behandlung des Vorfalls durch AusCERT und das Rote Kreuz" fort.

Wenn das Unternehmen keinen sichtbaren Sicherheitskontakt auflistet, ist es sicher, dass die Sicherheit nicht als wichtig eingestuft wird.IMHO ist es am sinnvollsten, sich wie oben erwähnt an ein CERT zu wenden und es die Angelegenheit nach Belieben behandeln zu lassen.
#3
+12
Pedro
2020-05-26 15:00:52 UTC
view on stackexchange narkive permalink

Erste Voraussetzung: Die Suche wurde rechtmäßig durchgeführt.

Sie müssen herausfinden, wer ihr Sicherheitskontakt ist und wer in der Organisation wegen der Offenlegung von Sicherheitsfehlern kontaktiert werden sollte. Wie das organisiert ist (oder nicht), liegt ganz bei der Organisation. Es liegt auch ganz bei ihnen, Sie zu ignorieren oder zu missverstehen. Denken Sie also bitte daran und legen Sie Ihre Erwartungen fest.

Manchmal finden Sie innerhalb der Organisation einen Kontakt, mit dem Sie direkt sprechen oder auf einem öffentlichen Kanal nachfragen können nützliche Wege, um schließlich zu den richtigen Personen zu gelangen.

Achten Sie darauf, was Sie melden und wie Sie die Ergebnisse kommunizieren. Sie bieten Hilfe an, die sie ablehnen oder ignorieren können. Nehmen Sie Kontakt auf, richten Sie einen Dialog ein, geben Sie Empfehlungen, wenn Sie können, und versuchen Sie, das technische Niveau der Kontakte und ihr Interesse am Lernen und Beheben des Problems zu messen.

Manchmal haben Sie vielleicht Glück, wenn Sie das Unternehmen auf Linkedin nachschlagen und versuchen, jemanden mit einer relevanten Berufsbezeichnung zu finden.GDPR bedeutet, dass viel mehr Unternehmen Mitarbeiter / Manager haben, die sich dem Datenschutz und der Sicherheit widmen.
Alle Unternehmen, die der DSGVO unterliegen und personenbezogene Daten verarbeiten, benötigen jetzt einen Datenschutzbeauftragten.Dies könnte eine gute Person sein, mit der man sprechen kann.
@David ja sie müssen und sie sollten, aber sie tun es nicht immer.
@Pedro: Im schlimmsten Fall hat das OP jetzt * zwei * Probleme, über die es mit dem Unternehmen sprechen kann.Datenlecks und keine Person, die mit diesem Leck umgeht.
Ja, das würden sie.Ich bin ein, aber zynisch, weil ich sehe, dass dies häufig passiert.Die meisten Organisationen verstehen die Offenlegung immer noch nicht, sind nicht bereit und verwenden die bereitgestellten Informationen häufig nicht so, wie es ihnen am meisten nützt.
#4
+5
Tom
2020-05-27 14:31:40 UTC
view on stackexchange narkive permalink

Wie viel Mühe möchten Sie machen und warum möchten Sie es machen?

mit geringem Aufwand: "Ich kümmere mich nicht um sie, ich möchte nur ein guter Mensch sein" Antwort : Holen Sie sich eine Wegwerf-E-Mail. Senden Sie ihnen eine Nachricht an die Support-Adresse, beginnend mit "Bitte an CISO oder eine andere Person, die für die Informationssicherheit verantwortlich ist", und teilen Sie ihnen mit, wo Sie was gefunden haben. Sie erwarten keine Antwort oder Entschädigung. Wir wünschen Ihnen einen schönen Tag. Tschüss.

Wenn Sie sich aus irgendeinem Grund dafür interessieren, kontaktieren Sie sie telefonisch und stellen Sie eine Verbindung zu der verantwortlichen Sicherheitsperson her. Es ist eine Fähigkeit, an Leuten der ersten Ebene vorbeizukommen, und sie könnten Sie abschrecken. Versuchen Sie es einfach noch einmal. Sie befinden sich wahrscheinlich in einem Callcenter und werden beim zweiten Mal eine andere Person finden. Die persönliche Nachricht sollte dieselbe sein: Was Sie gefunden, wo Sie es gefunden haben (senden Sie ihnen die DB nicht direkt, zeigen Sie ihnen, wo sie es selbst finden können!), dass Sie keine Entschädigung erwarten, haben Sie einen schönen Tag.

Es ist sehr wichtig , dass Sie sehr deutlich darauf hinweisen, dass Sie sie nicht erpressen. Die Meldung "Ich habe einige Ihrer geheimen Daten" wird sehr leicht als Bedrohung angesehen.

Aufwandreiche Lösung: Der CISO für dieses Unternehmen kann sich auf LinkedIn oder einem anderen professionellen Netzwerk befinden. Versuchen Sie ihn dort zu finden und kontaktieren Sie ihn direkt. Wenn nicht, schreiben Sie ihnen einen physischen Brief an den CISO und / oder den CEO (der Name des CEO sollte in einem Unternehmensverzeichnis leicht zu finden sein). Physische Briefe werden immer noch viel ernster genommen als E-Mails, und die Adressinformationen werden im Allgemeinen respektiert. Wenn sie also mit Namen an den CEO adressiert werden, werden sie von seiner Sekretärin und nicht von einem Callcenter geöffnet Agent.

Warum eine Wegwerf-E-Mail?Nein, Sie senden keine vertraulichen Sicherheitsinformationen an eine Kundendienstleitung.Das macht die Sache noch schlimmer."Es ist mir egal, ich möchte nur ein guter Mensch sein".In dem von Ihnen angegebenen Beispiel sind Sie kein guter Mensch.Sie mögen sich wie ein guter Mensch fühlen, aber Sie haben mehr Schaden als Nutzen angerichtet.Eine telefonische Kontaktaufnahme ist nicht realistisch.Ich würde niemals einen Anruf von einem zufälligen Fremden entgegennehmen.Senden Sie mir zuerst eine E-Mail mit Details, die ich überprüfen kann.Diese Antwort bietet schlechte Ratschläge und ist einfach unrealistisch.Tun Sie einfach das, was ich oben gesagt habe und fragen Sie nach dem richtigen Kontakt ...
Briefe an den CEO, die hochtechnische Informationen enthalten, werden eher zusammengefasst und nicht ernst genommen.
#5
+5
Criggie
2020-05-28 04:15:01 UTC
view on stackexchange narkive permalink

Überlegen Sie, die Informationen an eine unparteiische, bekannte Clearingstelle wie Troy Hunt weiterzugeben.

https://www.troyhunt.com/ und https: //haveibeenpwned.com/

Auf diese Weise können Sie völlig anonym bleiben.

Ich würde dort sehr vorsichtig sein.Selbst wenn Sie die durchgesickerten Informationen legal erhalten haben, kann es sehr illegal sein, sie mit anderen zu teilen, die keinen Zugriff haben sollen.Zumal es für das Unternehmen, dem die Informationen gehören, nicht offensichtlich ist, dass sie durchgesickert sind.
Das wäre wahrscheinlich illegal, wenn ich wohne.Vielen Dank für den Vorschlag.
#6
+2
Nzall
2020-05-27 17:54:07 UTC
view on stackexchange narkive permalink

Eine weitere Option für den Fall, dass die zuständige Gerichtsbarkeit keine CERT-Organisation hat (obwohl die Wahrscheinlichkeit hoch ist, dass Sie beim Lesen dieses Beitrags in einem Land leben, in dem das eine oder andere Unternehmen in einem solchen Land ansässig ist) und Sie können keine andere Möglichkeit finden, eine relevante Person im Unternehmen zu kontaktieren. Sie müssen jedoch vorsichtiger sein, wenn Sie sich an einen kompetenten neutralen Journalisten wenden, der auf Informationssicherheit spezialisiert ist. Die meisten Unternehmen zögern verständlicherweise, einem zufälligen Niemand zuzuhören, der sie aus heiterem Himmel mit der Nachricht kontaktiert, dass sie eine durchgesickerte Datenbank gefunden haben. Ein Journalist unterscheidet sich jedoch in bedeutsamer Weise von einem zufälligen Niemand:

  1. Sie haben einen viel öffentlicheren Online-Fußabdruck, der leicht zu finden ist und zeigt, dass sie wissen, wovon sie sprechen;
  2. Sie haben den Ruf, sich selbst und ihren Arbeitgeber zu schützen, und vermitteln als solche einen besseren Eindruck, dass es ernst ist und sie dies nicht für schnelle Gewinne tun;
  3. Sie Es ist wahrscheinlicher, dass ein Unternehmen eine effektive Antwort erhält, da ein Unternehmen stark davon abgehalten wird, Journalisten zu ignorieren, die Verstöße melden. Einer der schlimmsten PR-Albträume, die ein Unternehmen haben kann, ist ein Artikel in einer Zeitung, in dem beschrieben wird, dass eine Unternehmensdatenbank gehackt und personenbezogene Daten für jedermann öffentlich zugänglich sind. In einem der Absätze wird beschrieben, wie das Unternehmen mehrmals ohne Antwort kontaktiert wurde.
  4. ol>

    Hinweis: Sie möchten auf jeden Fall einen kompetenten Reporter, der mit einer bekannten Publikation verbunden ist. Sie sollten sich wirklich nicht für eine sensationelle Boulevardzeitung oder eine Website / einen Fernsehsender mit einer starken politischen Ausrichtung entscheiden. Ich meine damit nicht, dass Sie sofort zu einer Site wie The Verge oder The Register gehen sollten. Insbesondere bei kleineren Unternehmen, die sich stark auf eine kleine Anzahl von Städten oder eine kleine Region konzentrieren, ist es möglicherweise vorsichtiger, eine Stadtzeitung oder einen lokalen Radiosender zu verwenden, da die Wahrscheinlichkeit größer ist, dass sie mit den beteiligten Reportern und Veröffentlichungen vertraut sind .

    Eine letzte Bemerkung ist, dass diese Route fast immer dazu führt, dass das Leck EXTREM öffentlich wird. Aus diesem Grund sollte dies nur als letzter Ausweg verwendet werden, falls alles andere in einer Sackgasse endet. Sie müssen absolut sicher sein, dass dieses Ergebnis das ist, was Sie wollen, und dass es ein besseres Ergebnis ist, als es ruhig zu halten. Es gibt definitiv einige Unternehmen, in denen ein Artikel wie dieser auf allen Ebenen der Gesellschaft äußerst weitreichende Komplikationen haben kann, sogar bis zu dem Punkt, an dem er Freundschaften ruinieren, Ehen beenden und Leben kosten kann.

#7
+2
Anis
2020-05-30 04:14:22 UTC
view on stackexchange narkive permalink

Ich habe gezögert, diese Antwort zu veröffentlichen, da sie nur für Webanwendungen hilfreich ist, aber ich glaube, sie gehört hierher.

Es gibt einige Bemühungen, die versuchen, die Art und Weise, wie Sicherheitsprobleme gemeldet werden sollen, und eine Datenbank zu standardisieren Leck ist einer von denen. Der Vorschlag heißt security.txt , und soweit ich weiß, handelt es sich bei dem Papier immer noch um einen Entwurf.

security.txt (einfach ausgedrückt)

Für ein Unternehmen

Es besteht aus einer Textdatei mit dem Namen "security.txt" im Stammverzeichnis der Website des Unternehmens, zum Beispiel: example.com/security.txt kann auch in den Ordner .well- gestellt werden: example.com/.well-known/security.txt. Die Idee ist, alle erforderlichen Informationen zum Melden eines Sicherheitsproblems in diese Datei aufzunehmen.

Für einen Sicherheitsforscher

Wenn dieser Vorschlag bei einem Sicherheitsproblem breite Akzeptanz findet Wenn ein Sicherheitsforscher ein bestimmtes Unternehmen gefunden hat, sollte er nach dieser bestimmten Datei suchen und hoffentlich wissen, wie er sie adressieren (melden) kann.

Weitere Informationen zu security.txt



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...