Seguridad con denuncia...

Resulta que, reporte MULTIPLES problemas a una empresa calculo una cifra de xxx servidores afectados.

Doy un tiempo estimado para que lo resuelvan ya que algunos de los problemas son MUY graves.

No diré el problema exacto, el mas grave se puede comparar casi con algo como.. ummm.... no se como decirlo.......

.................................... uid 0 ?

Hasta hice una app que puede usar cualquiera pero para hacerla publica la tuve que modificar para que no tuviera relación con la empresa, así que será una app para ejecutar en cualquier computadora con linux... en la mayoría no hace casi nada, al menos que se cumplan algunas condiciones.

En fin, debida a la magnitud del problema redacto un detallado informe y la empresa dice gracias y si te he visto no me acuerdo ( tampoco esperaba ninguna recompensa, vamos que siempre informo de los problemas que encuentro sin esperar nada a cambio, pero la mayoría siempre ofrece algo, hosting, vps, dinero etc que normalmente rechazo... excepto el dinero je ) , 8 días después el problema sigue y les digo que hablare de los problemas de seguridad que tienen en blogs o algún foro con algunos detalles o al menos de lo que trata el problema.

El siguiente email que me mandan me dicen que he infringido las normas de la empresa y que si hago publico el fallo o hablo de sus servidores o de la red o cualquier dato de la empresa procederán a hacer una denuncia formal a las respectivas autoridades..........

Que les parece ? reportas un fallo enorme, inviertes tu tiempo y luego así de la nada les importa un carajo y hasta te quieren denunciar si dices alguna cosa que les comprometa o relacione etc..

Supongo que algunos tienen más miedo a perder clientes que a reconocer un error que comprometa a sus clientes y por eso por cualquier cosa quieren ir por lo legal.

 

Me parece a mi que ese tipo de actos son de agradecer, a una empresa debe de venirle bien que le comuniquen los errores ("De eso se aprende") y si lo hace un usuario de buena fe, creo que lo que hay que hacer mínimo es ser agradecido.

 

Pues si... hoy me dicen que lo que he hecho han sido actividades delictivas ¿¿¿¿¿¿¿¿¿ ?????????

Reportar un agujero de seguridad tan grande como el sol.... y no causar ningún daño a la empresa es una actividad delictiva....... que va contra las normas de la empresa ¿?

O están demasiado acojonados de que se haga publico o no tienen ni puñetera idea.

 

A mi parecer creo que ambas opciones

¿Pero digo yo que para algo tendrán gente que sepa solucionar lo que hayas reportado no? y si no pues buscar a alguien que sepa.. no creo que sea muy complicado..

 

No es complicado del todo, unos cambios en el sistema y otros cambios en otro sitio, quitar unas cosas, poner otras, vamos que han sido 10 problemas los reportados y 2 de ellos muy muy graves, no es muy complicado hacerlo bien, lo que pasa es que son demasiados servidores, vamos que es una empresa grande cuando dije xxx no es una cifra que se acerque 100 si no más bien casi a 1 000.

 

Un reporte de este tipo cualquier empresa debería agradecerlo, pues nadie es perfecto y si un usuario notifica de un fallo de seguridad, lo mínimo es tratar de subsanarlo, y más aún si eres una empresa grande como lo que mencionas, se me ha pasado una por la cabeza... una que conocemos todos... pero bueno, mejor no saberlo

 

Pues según que errores la que puede estar cometiendo una ilegalidad es la empresa que es la que debe de velar por la seguridad. Cuando me dices que se trata de una empresa grande me sorprende más.. ¿Que pasa no tiene gente que se lo solucione? Mira si es un autónomo recién empezando es otra historia... ¿pero teniendo miles? vaya "empresa"...

 

Dijeron que trataran de hacerlo, lo que pasa es que también tienen que avisar a los clientes para que cambien sus claves y a día de hoy no han hecho nada.

En fin, que supongo que estarán trabajando en eso, pero un fallo como este requiere acciones inmediatas, no decir, lo estamos analizando xD

Supongo que si en unos meses no lo solucionan yo mismo puedo denunciarlo por no avisar a sus clientes de perdida de información y todo ese asunto de la ley de protección de datos.

 

Es precisamente lo que te comento, me da a mi que quien comete la ilegalidad es ellos por no garantizar la seguridad

 

Hay un detalle que tienes que tomar en cuenta, la empresa no te ha pedido un pen-testing, en ciertas legislaciones esto ya de por sí solo es ilegal, muchos apreciamos lo que haces, pronto podrás hacer el listado de empresas que pasan la rigurosa certificación Skamasle, pero te sugeriría un cambio en la modalidad de trabajo:

Primero que nada, contacta a la empresa antes de hacer cualquier test en la red, solicita su autorización e indica la IP desde la cual planeas realizar el test, luego presenta un informe (más bien un bosquejo de informe) acerca de las fallas detectadas y ofrece un informe detallado así como correcciones posibles por XXX cantidad de dinero, de esta manera te cubres las espaldas contra cualquier posible acción legal, es muy diferente cuando el agujero lo consigues en un sofware que corre en tu servidor, que cuando testeas la seguridad de una red, por ejemplo Rack911 está haciendo un excelente trabajo reportando bugs en software relacionado con el hosting, pero ellos hacen todos sus test en ambientes controlados, no en redes de terceros.

Aquí tienes un interesante link (en ingles) sobre testeo de redes de terceros http://www.securitycurrent.com/en/analysis/ac_analysis/legal-issues-in-penetration-testing

 

Bueno en principio no fue un test de seguridad, simplemente descubrí un fallo por error el cual reporte, luego de eso contacte con la empresa y les dije que tenían ese fallo, en ese momento me dijeron algo como " gracias cualquier reporte hecho por usuarios es bienvenido" ( no recuerdo exactamente como me lo dijeron, pero me dio a entender que si encontraba algo lo podía reportar ) con eso profundice un poco más y encontré el gran agujero.

El asunto es este, que la comunicación estaba abierta, les reporte el primero, el segundo y la comunicación era fluida, se los dije abiertamente he realizado unas pruebas y ellos como si nada, bien, gracias, estamos revisando la información provista.

No les importo y según mi parecer estaban de acuerdo. El lio vino cuando no solucionaron los problemas y reporte el resto de fallos y dije que haré publica la vulnerabilidad si no lo solucionan en un tiempo prudencial, les di una fecha, luego les dije que les podía dar mas tiempo que lo importante era la seguridad de los clientes, pero que si lo hacia publico era para que lo tomaran más enserio.

En fin, ahí fue cuando me mandaron a su abogado, que no estaba autorizado para hacer la prueba y a reportar el fallo... cuando días atrás estaban informados de que estaba realizando las pruebas y no les importo en absoluto, así que en principio ya estaban autorizados y no me dijeron "deja de hacerlo" si no más bien fue como, vale cualquier aporte realizado será revisado.

Los primeros fallos fueron detectados sin hacer ninguna prueba seguridad ni correr un software fue por...umm no puedo dar los detalles.

Pero vamos que no se uso software de nada, el software lo cree yo después para agilizar la detección.

En fin que me da igual, no publico los datos y no pasa nada, pero bien que están interesados en saber los detalles y todo el rollo...

Lo que si se es que la próxima vez que encuentre un fallo de seguridad tan grave será completamente anónimo y el reporte será anónimo también.

Y que no me anden liando con eso de que si vale, es interesante dinos más y luego salgan con que tu eres un delincuente cibernetico.

No tengo intención de cobrar por un bug que encuentro casualmente, tampoco intención de joder a nadie, solo quería ver que en esa empresa mis datos eran seguros, reporte un fallo y medio curiosidad, un pequeño agujero me llevo a un tunel y el tunel me hizo quitar la montaña.

Por último mi intención no era hacer los datos publicamente solo quería llevarme el merito y enseñar los dos bugs más grandes y a la vez usar el fallo para enseñar como solventarlo y que en otros sitios no se cometa el error.

Pero vamos, que de jodan, esto a sido un desahogo, haré lo que he hecho siempre, guardar la info sobre el bug, no cometer yo esos errores, hacerme mejor sysadmin y en un futuro y si el fallo sigue comprometiendo datos sensibles de clientes reportarlo a las autoridades y ahí si que se les va a caer el pelo.

 

Luego de leer tus comentarios y si ya te ha contactado el abogado, sugiero que cortes cualquier comunicación con la empresa (todo lo digas/escribas, puede ser usado en tu contra) y guarda cuidadosamente logs, mail y cualquier documentación que permita comprobar tu buena fe en este asunto, sugiero también que hagas copias de sus TOS, AUP, etc

Por curiosidad, de que país es la empresa?

 

Si no me van a denunciar, en principio.. solo me han dicho que recurrirán en acciones legales en caso de que yo hable de la empresa, publique información del sistema, información de la red y un montón de cosas más que no esta estipulado en su contrato... lo que me hace pensar es que están bien jodidos y tienen miedo xD

Y bueno tengo mucha información guardada que demuestra que he actuado de buena fé y que he reportado el problema en en el instante que lo he descubierto, esto por si les da por denunciarme sin yo haberles perjudicado y/o revelado información.

También tengo información que demuestra que sus clientes están "en peligro" :/

La empresa tiene sede en España.

 

¿El nombre de la empresa empieza por un "número"? Creo que es uno de los nombres que ya sabemos cuál puede ser y que más se nos puede venir a la cabeza...

 

A mi se me ha venido también al inicio del post el mismo que a justice13

 

Skamasle realizar un pentesting sin autorización de la empresa en España es ilegal ya solo el simple hecho de utilizar nmap, nessus etc para descubrir software y vulnerabilidades. Cuidado, cuidadin.

Ha habido casos de gente denunciada por reportar sql injections.

 

Lo malo que no soy de España, y como ya dije cuando reporte el problema me dijeron ok cualquier cosa más nos comentas.

Y no he usado ningún software, en principio el fallo se encontró por error y menudo fallo ya luego se me fue la mano y quise ver hasta donde llegaba....

 

El problema que veo es que si a resultas de que tú publiques los problemas de seguridad que tiene, los datos de sus clientes son comprometidos... lo será gracias a que tú has hecho pública la vulnerabilidad...

Yo que tu lo dejaría estar.

 

Hombre, no sé a los demás, pero si me pongo en lugar de esa empresa, la verdad es que a mi eso me sonaría a "chantaje" o similar.

Ponte en su lugar. ¿Cómo interpretas lo que les has dicho?

a) Así: "si no me hacéis caso os denunciaré, haré públicos los agujeros de seguridad, etc, etc." (perjudicando de paso no sólo a la empresa sino también a sus clientes).

b) O así: "parece que tenéis un problema que es éste".

Cuidadín, porque todo esto, lo de que les has dado plazos límite y todo lo demás sí que suena a chantaje (que no lo será, pero "parece") y se pueden poner muy " tontos" desde un punto de vista legal.

Analogía:

- La cerradura de la puerta de tu casa parece que tiene un fallo
- Ya
- Deberías arreglarlo
- Si, ya lo sé
- ¿No la vas a arreglar?
- Estoy en ello, que ya va
- Que lo arregles. De lo contrario en dos horas pienso decir a los cuatro vientos cómo se pueden entrar a tu casa y te robarán.
- No tendrás cojones...
- Pues sí, porque lo he visto, está mal que no arregles la cerradura y puedo hacerlo
- Voy a llamar a mi abogado...

Lo dicho. Mejor déjalo estar.

 

Pues he preguntado a mi abogado y me a dicho que, los fallos que tienen son muy graves y que ponen en peligro a sus clientes y que si no lo solucionan y reciben una denuncia ( de parte mi o de parte de quien sea ) al estar ya advertidos podrían recibir sanciones importantes y hasta podría peligrar la propia empresa, o sea que si siguen con eso podría llevarles al cierre.

Y bueno hombre yo no he amenazado, les he reportado un problema que afecta directamente datos sensibles de sus clientes.

No es plan chantage, aunque según tu analogía se puede interpretar así y si, concuerdo, pero no es la intención de hacerlo así, ya que en principio no dijeron que lo repararían y en ese momento yo como cliente tenia ahí datos sensibles que podían ser robados.

Así que podemos añadir esto:

- Tu cerradura esta mal.
- Y me van a robar lo que hay en la caja fuerte si no lo solucionas. xD