Ich erhielt eine E-Mail an techsupport @ websitename .com (ziemlich allgemeine E-Mail), in der darauf hingewiesen wurde, dass meine Website usw. usw. eine Sicherheitslücke aufweist.
Meine erste Reaktion war diese Das war ein Betrug. (Wie / warum haben sie unsere Website gefunden?)
Allerdings schienen sie (bisher) nicht nach Geld zu suchen, und sie hatten es auch per E-Mail von einem Google Mail-Konto aus gesendet (was mir nicht stimmte) , Spam wird normalerweise von seltsamen Domains gesendet) - auch Google hat es als wichtig markiert.
Das gesamte Schreiben ist eindeutig nicht gut ausgebildet, aber es ist nicht so schlecht wie normalerweise.
Die E-Mail-Adresse schien auch eine Spieleradresse zu sein (ein seltsamer Name und ein paar Ziffern).
Dies ist die E-Mail:
Hallo,
Ich habe in ' websitename .com' eine Sicherheitsanfälligkeit für Webanwendungen [XSS] gefunden, die einen Angreifer dazu veranlassen kann, nicht authentifizierte Aufgaben wie Kontoübernahmen und andere schädliche Dinge wie Webdefacement (Ihre Site) und Port-Scanning auszuführen über Ihre Server an andere Server im Internet oder über Ihre Website zur Verbreitung von Ransomware. Dieser Fehler muss so schnell wie möglich behoben werden.
Als verantwortungsbewusster Sicherheitsforscher sende ich diese E-Mail direkt an du ohne Wenn Sie also Bedenken hinsichtlich der Sicherheit Ihrer Website haben und detaillierte Informationen und einen Proof-of-Concept für diesen Fehler wünschen, kontaktieren Sie mich bitte per E-Mail - email @ gmail.com
Würde mich freuen zu wissen - bieten Sie Belohnungen (Bug Bounty) / Beute als Zeichen der Wertschätzung für das Melden von Bugs an?
Vielen Dank,
- (Fremd klingend) Name
Kursiv wurde aus Datenschutzgründen geändert sub>
Frage:
Sind dies typische Dinge, die Betrüger tun würden?
Wenn ja, was versuchen sie zu gewinnen, was wäre (wenn überhaupt) das Risiko, auf die E-Mail zu antworten und weitere Informationen anzufordern .
Auf der anderen Seite, wenn es sich tatsächlich um einen legitimen "verantwortungsbewussten Sicherheitsforscher" handelt, welche Art von Fragen sollte ich stellen, um dies herauszufinden.