最近发现一家公司的数据库泄露了,不知道怎么联系这家公司。这太奇怪了,因为我找不到任何类型的信息安全联系人电子邮件来报告这个问题。它只有一封支持电子邮件。将链接发送到支持电子邮件时,我感到不舒服。
我应该要求该公司的信息安全电子邮件联系人还是我应该怎么做?顺便说一句,公司的支持电子邮件更多的是欺诈或客户支持电子邮件,而不是技术支持或安全性。
此外,什么是一个很好的模板来提供泄露数据库的最佳洞察力?
为了澄清起见,我没有对任何拥有或分发或与似乎可能是数据库创建者的公司有任何关系的网站进行渗透测试。然而,我在使用我的互联网搜索能力时找到了数据库。我没有使用任何特殊工具或计算方法。我不是一个知道所有数据库或泄漏在哪里的魔术师。我确实偶然发现了在互联网上不应该出现的地方漂浮的内容。
我找到数据库的方式是合法的,而不是非法的。
不要将安全信息提供给非安全人员。使用任何可用的联系方式来要求合适的安全人员。在你找到能理解它的人之前,不要提供你发现的细节。
然后提供有关您发现的内容的详细信息。不要要求奖励或要求任何形式的行动,否则你很可能不会被认真对待。只需提供帮助并让他们处理即可。
我不确定你需要什么样的模板。向他们提供他们需要的信息/步骤,以便找到您找到的信息。如果你听起来太“脚本化”,你可能听起来像个骗子。做人。乐于助人。
如果您无法找到联系方式,一种选择是联系您所在国家或实体所在国家/地区的全球 CERT 列表中的 CERT(计算机/网络紧急响应小组) 。这些组织通常有联系适当人员的方法(在受影响的实体和国家当局内)。
至少在澳大利亚,来自 AusCERT 和 ACSC(澳大利亚网络安全中心)的联系可能比来自随机和未知人员的联系更受重视。Troy Hunt撰写的一篇关于他使用 AusCERT 处理澳大利亚红十字会数据库泄漏的经历的文章给出了他对 AusCERT 性能的看法。我建议阅读全文,但请跳至“AusCERT 和红十字会对事件的处理”以获取 Troy 的摘要。
初始前提:依法取得的发现
您需要找出谁是他们的安全联系人,应该联系组织中的谁来披露安全故障。如何组织(或不组织)完全取决于组织。忽略或误解您也完全取决于他们,所以请记住这一点并设定您的期望。
在组织内部(任何人)寻找直接交谈的联系人或在公共渠道上询问有时是最终找到合适的人的有用方法。
请注意您报告的内容以及您如何传达调查结果。您正在提供帮助,他们可以拒绝或忽略。建立联系,建立对话,尽可能提供建议,尝试评估联系人的技术水平以及他们对学习和解决问题的兴趣。
你想付出多少努力,为什么要努力?
省力,“我不在乎他们,我只想成为一个好人” 回答:给自己发一封一次性电子邮件。向他们发送消息到支持地址,以“请转发给 CISO 或其他负责信息安全的人员”开头,并让他们知道您在哪里找到了什么,您不希望得到任何答复或补偿,祝您有美好的一天,再见。
如果您出于任何原因关心它,请通过电话与他们联系并与负责安全的人员取得联系。有一种技巧可以通过第一级人员,他们可能会将您拒之门外,请再试一次-您很可能在呼叫中心,并且第二次会遇到不同的人。亲自给出的信息应该是一样的:你找到了什么,你在哪里找到的(不要直接向他们发送数据库,指向他们自己可以找到的地方!),你不期望任何补偿,有美好的一天。
非常重要的是,您要非常清楚地指出您不是在敲诈他们。消息“我有你的一些秘密数据”很容易被认为是威胁。
高效解决方案:该公司的 CISO 可以在 LinkedIn 或其他专业网络上。尝试在那里找到他并直接联系。如果没有,请给他们写一封实体信,寄给 CISO 和/或 CEO(CEO 的名字应该很容易在公司目录中找到)。物理信件仍然比电子邮件更受重视,并且地址信息通常受到尊重,即如果以姓名写给首席执行官,它将由他的秘书打开,而不是由某个呼叫中心代理打开。