PDA

Visualizza la versione completa : Falla di sicurezza in noto provider di rete internet


LuckySevenRoX
29-09-2016, 22:49
Salve, oggi con i miei colleghi abbiamo rilevato 1 assurda falla di sicurezza nel sito web di un noto provider di rete internet che permette di accedere (e modificare) i dati di fatturazione, abbonamento ecc. e di accedere a storici (fatture, pagamenti).. insomma, accesso totale al pannello 'cliente' senza nemmeno inserire credenziali.

Considerato che è il nostro provider, abbiamo ragionato su due cose:

1 - "denunciare" il fatto passando per vie legali (i miei dati come cliente non sono minimamente al sicuro)

2 - trovare il modo di 'vendere' questa informazione al provider stesso, segnalandogli la falla di sicurezza

Voi cosa fareste al nostro posto? Qual'è la strada migliore da seguire? (voglio sottolineare che non si tratta di 'fare soldi', ma cavolo se sei uno dei maggiori provider non puoi avere falle di questo tipo e di sicuro non meriti di saperlo 'aggratisse').

Cisco x™
30-09-2016, 09:56
Salve, oggi con i miei colleghi abbiamo rilevato 1 assurda falla di sicurezza nel sito web di un noto provider di rete internet che permette di accedere (e modificare) i dati di fatturazione, abbonamento ecc. e di accedere a storici (fatture, pagamenti).. insomma, accesso totale al pannello 'cliente' senza nemmeno inserire credenziali.

Considerato che è il nostro provider, abbiamo ragionato su due cose:

1 - "denunciare" il fatto passando per vie legali (i miei dati come cliente non sono minimamente al sicuro)

2 - trovare il modo di 'vendere' questa informazione al provider stesso, segnalandogli la falla di sicurezza

Voi cosa fareste al nostro posto? Qual'è la strada migliore da seguire? (voglio sottolineare che non si tratta di 'fare soldi', ma cavolo se sei uno dei maggiori provider non puoi avere falle di questo tipo e di sicuro non meriti di saperlo 'aggratisse').


1. se parti subito con il "denunciare" secondi me parti male, se le parti fossero due privati vinceresti tu, ma essendo tu un privato e la controparte un noto provider andrebbe a finire per le lunghe (anni?) e tu non puoi permetterti di pagare avvocati e avvocati, mentre loro si, vincono loro e tu rimani con un pugno di mosche

2. puoi provare a vendere, ma occhio a come la vedi, se parli poco loro non ti credono e ti rifiutano, se parli tanto loro capiscono e all'interno dell'azienda stessa fanno intervenire uno dei loro e tappano il buco e tu rimani con un pugno di mosche

Brown
30-09-2016, 10:02
...senza nemmeno inserire credenziali.



quindi senza loggarti accedi al tuo pannello? a quale pannello, poi, al tuo profilo o di altri utenti?:confused:

ciao:ciauz:

LuckySevenRoX
30-09-2016, 10:02
Il fatto di contattarli dicendo "ho trovato una falla. Se mi inviate X€ ve la comunico" può passare come una specie di ricatto? (insomma, si può fare tranquillamente no? Se non accettano cavoli loro). Quello che mi preoccupa è come gestire la cosa: loro mi dicono "ok, dicci la falla e poi paghiamo".. Dovrei fare una scrittura privata o un contratto per stare tranquillo giusto?

Kahm
30-09-2016, 10:04
per grande falla intendi forse inseire i dati di amministrazione: "admin" e "admin" ?
oppure hai fatto un attacco DOS?



nel primo caso il sistemista verrà licenziato e la tua "buona causa" costerà un posto da sfamare
nel secondo, sei tu in torto, tecnicamente i server possono rilevare vari attacchi, infatti dipende come hai trovato la falla.

vero anche che i sistemisti sono responsabili e devono fare bene il loro lavoro
difficile rispondere

MItaly
30-09-2016, 15:00
Sicuro che non sia la solita cosa per cui puoi accedere al tuo pannello-cliente senza credenziali ma solo dalla tua connessione? Perché quello è normale...

Vincent.Zeno
30-09-2016, 16:40
ammesso che ci sia una falla... è interessante come le due opzioni soggiunte siano "denuncia" e "vendere" :spy:

esiterebbe l'opzione "come comunicare"... sempre che lo si voglia :stordita:

Kahm
30-09-2016, 17:19
ammesso che ci sia una falla... è interessante come le due opzioni soggiunte siano "denuncia" e "vendere" :spy:

esiterebbe l'opzione "come comunicare"... sempre che lo si voglia :stordita:
ci lamentiamo tanto della mentalità italiana
ma non ci rendiamo conto che noi stessi
ogni giorno, non facciamo nulla per
migliorare il sistema dando il buon esempio

Cisco x™
30-09-2016, 18:50
ammesso che ci sia una falla... è interessante come le due opzioni soggiunte siano "denuncia" e "vendere" :spy:

esiterebbe l'opzione "come comunicare"... sempre che lo si voglia :stordita:


E' chiaro che lui vuole dar fastidio al provider e/o lucrarci sopra, ma nella relta' lui (minuscolo) conto un gigante (provider) non può far nulla. Non e' nelle condizioni di potersi permetterlo.

saucer
30-09-2016, 18:53
beh dai....almeno non vuol venderla al miglior offerente :spy:

Loading