如何报告漏洞而不被视为黑客?

信息安全 披露
2021-08-25 06:00:07

我刚刚发现我的大学校友的登录页面只是普通的 HTTP。Wireshark 确认凭据是使用 HTTP POST 消息发送的。我做了一些研究,我认为应该始终在登录页面上使用 HTTPS(请参阅站点使用 HTTP 提供登录页面是否安全,但实际站点使用 HTTPS?)。

首先,我想帮我的大学一个忙,但是我怎样才能让他们采取一些行动呢?我的个人数据,例如学位和毕业年份,很可能存储在校友数据库中。一些组织不认真对待此类报告也就不足为奇了(请参阅 如何向不认为自己存在问题的大型组织报告漏洞?)。我已经使用我的校友电子邮件帐户向大学的 IT 服务台发送了电子邮件,但工作人员要求我将我的查询直接发送到一般校友查询电子邮件。

除了技术细节之外,我如何确保没有警察会因为我的黑客行为而逮捕我?我没有试图窃取任何个人信息。在大学采取行动之前,我没有兴趣向某些安全论坛报告此漏洞。

PS 我很尴尬我的计算机科学学位来自那所学校。

4个回答

简单地报告它使用 HTTP 而不是 HTTPS 进行登录并且不安全不应该让你被指责为黑客攻击。通过查看该站点,可以立即公开看到它。

有许多方法可以检测实际上可能被视为黑客攻击的漏洞(例如,针对您无权运行它的目标运行漏洞扫描程序),但我不知道有任何司法管辖区会考虑查看页面并识别一个立即可见的黑客攻击缺陷。这有点像路过一所房子,注意到有人在他们离开时把门开着,当你向他们指出他们把门开着时被指控为小偷(而你甚至没有站在他们的财产。)

如果他们忽略了您的电子邮件,您可以尝试将它们报告给负责执行数据保护法的组织。我不知道你来自哪里,在英国应该是http://ico.org.uk/concerns

他们有责任保护您的数据安全。

首先,你不能让任何人做任何事情。作为校友,您可以提出自己的个人担忧,即您的凭据被暴露,但仅此而已。

我不确定有人会如何将您声明的行为视为黑客行为,但这取决于您的管辖权。在我看来,捕获自己的数据包一点也不违法。

不幸的是,IT 支持人员将您送到普通电子邮件箱,但您必须遵循他们的程序。

这是我的方法:

试着找出你的大学是否有负责安全的人。也许他们有一家公司可以做到这一点,或者他们有一个部门。如果是这样,请尝试联系这些人。他们通常知道你在说什么。

联系他们时,您无需告诉他们有关wireshark的信息。说“我注意到该站点使用 HTTP,并且由于我从事计算机安全工作,因此我知道这意味着我的姓名和密码将在没有任何保护的情况下通过 Internet 发送。您和我之间的任何网络中的任何恶意人员都可以用这种方式盗取我的身份,你知道吗?”

所以第一个目标是:“我发现了一个风险,我知道我在说什么”。然后看看他们是如何反应的。这不是危及生命的情况。如果能解决几天就好了。您可以使用几封邮件来说明您的观点。

如果他们拒绝相信你,那么给他们一个他们自己看的秘诀(安装 Wireshark,使用此规则,进行登录,回顾 Wireshark 显示给你的内容)。这样,他们运行“坏”工具。在任何时候,您都不需要告诉他们您在自己的计算机上做了什么。如果按下,您可以说“我使用我公司的安全工具来捕获我的浏览器发送给您的数据,我看到了......”