Falla di sicurezza in noto provider di rete internet

[LuckySevenRoX]

Salve, oggi con i miei colleghi abbiamo rilevato 1 assurda falla di sicurezza nel sito web di un noto provider di rete internet che permette di accedere (e modificare) i dati di fatturazione, abbonamento ecc. e di accedere a storici (fatture, pagamenti).. insomma, accesso totale al pannello 'cliente' senza nemmeno inserire credenziali.

Considerato che è il nostro provider, abbiamo ragionato su due cose:

1 - "denunciare" il fatto passando per vie legali (i miei dati come cliente non sono minimamente al sicuro)

2 - trovare il modo di 'vendere' questa informazione al provider stesso, segnalandogli la falla di sicurezza

Voi cosa fareste al nostro posto? Qual'è la strada migliore da seguire? (voglio sottolineare che non si tratta di 'fare soldi', ma cavolo se sei uno dei maggiori provider non puoi avere falle di questo tipo e di sicuro non meriti di saperlo 'aggratisse').

[Cisco x™]

Salve, oggi con i miei colleghi abbiamo rilevato 1 assurda falla di sicurezza nel sito web di un noto provider di rete internet che permette di accedere (e modificare) i dati di fatturazione, abbonamento ecc. e di accedere a storici (fatture, pagamenti).. insomma, accesso totale al pannello 'cliente' senza nemmeno inserire credenziali.

Considerato che è il nostro provider, abbiamo ragionato su due cose:

1 - "denunciare" il fatto passando per vie legali (i miei dati come cliente non sono minimamente al sicuro)

2 - trovare il modo di 'vendere' questa informazione al provider stesso, segnalandogli la falla di sicurezza

Voi cosa fareste al nostro posto? Qual'è la strada migliore da seguire? (voglio sottolineare che non si tratta di 'fare soldi', ma cavolo se sei uno dei maggiori provider non puoi avere falle di questo tipo e di sicuro non meriti di saperlo 'aggratisse').

1. se parti subito con il "denunciare" secondi me parti male, se le parti fossero due privati vinceresti tu, ma essendo tu un privato e la controparte un noto provider andrebbe a finire per le lunghe (anni?) e tu non puoi permetterti di pagare avvocati e avvocati, mentre loro si, vincono loro e tu rimani con un pugno di mosche

2. puoi provare a vendere, ma occhio a come la vedi, se parli poco loro non ti credono e ti rifiutano, se parli tanto loro capiscono e all'interno dell'azienda stessa fanno intervenire uno dei loro e tappano il buco e tu rimani con un pugno di mosche

[Brown]

...senza nemmeno inserire credenziali.

quindi senza loggarti accedi al tuo pannello? a quale pannello, poi, al tuo profilo o di altri utenti?

ciao

[LuckySevenRoX]

Il fatto di contattarli dicendo "ho trovato una falla. Se mi inviate X€ ve la comunico" può passare come una specie di ricatto? (insomma, si può fare tranquillamente no? Se non accettano cavoli loro). Quello che mi preoccupa è come gestire la cosa: loro mi dicono "ok, dicci la falla e poi paghiamo".. Dovrei fare una scrittura privata o un contratto per stare tranquillo giusto?

[Max Della Pena]

Il fatto di contattarli dicendo "ho trovato una falla. Se mi inviate X€ ve la comunico" può passare come una specie di ricatto? (insomma, si può fare tranquillamente no? Se non accettano cavoli loro). Quello che mi preoccupa è come gestire la cosa: loro mi dicono "ok, dicci la falla e poi paghiamo".. Dovrei fare una scrittura privata o un contratto per stare tranquillo giusto?

Come potrai difenderti da una eventuale accusa, da parte del grosso e noto provider, di aver approfittato della falla per copiare dati sensibili o altro?

Come ti han già detto esiste la terza opzione: attenzione il vostro sistema ha questa falla, l'ho scoperta oggi e vi invito a controllare e porre rimedio immediatamente.

[saucer]

Come potrai difenderti da una eventuale accusa, da parte del grosso e noto provider, di aver approfittato della falla per copiare dati sensibili o altro?

Come ti han già detto esiste la terza opzione: attenzione il vostro sistema ha questa falla, l'ho scoperta oggi e vi invito a controllare e porre rimedio immediatamente.

magari lo assumono per una consulenza sulla sicurezza del loro sistema, oppure come ringraziamento gli offriranno un "contributo volontario".

Andar a chiedere soldi, non mi sembra proprio il modo migliore per partire

[Kahm]

per grande falla intendi forse inseire i dati di amministrazione: "admin" e "admin" ?
oppure hai fatto un attacco DOS?



nel primo caso il sistemista verrà licenziato e la tua "buona causa" costerà un posto da sfamare
nel secondo, sei tu in torto, tecnicamente i server possono rilevare vari attacchi, infatti dipende come hai trovato la falla.

vero anche che i sistemisti sono responsabili e devono fare bene il loro lavoro
difficile rispondere

[MItaly]

Sicuro che non sia la solita cosa per cui puoi accedere al tuo pannello-cliente senza credenziali ma solo dalla tua connessione? Perché quello è normale...

[Vincent.Zeno]

ammesso che ci sia una falla... è interessante come le due opzioni soggiunte siano "denuncia" e "vendere"

esiterebbe l'opzione "come comunicare"... sempre che lo si voglia

[Kahm]

ammesso che ci sia una falla... è interessante come le due opzioni soggiunte siano "denuncia" e "vendere"

esiterebbe l'opzione "come comunicare"... sempre che lo si voglia

ci lamentiamo tanto della mentalità italiana
ma non ci rendiamo conto che noi stessi
ogni giorno, non facciamo nulla per
migliorare il sistema dando il buon esempio