如何处理别人网站的安全问题

信息安全 合法的 披露 隐私 伦理 事件响应
2021-08-14 18:46:09

几周前,我发现有人错误地在公共 wiki 上发布了某个网站的管理员帐户详细信息。当我发现这些数据是真实的(即我可以登录到他们由 Wordpress 运行的网站)时,我立即执行了以下操作:我从该 wiki 中删除了敏感数据,我要求 wiki 管理员永久删除该页面的所有修订版,并且我给管理员写了一封电子邮件通知他,并要求他尽快更改密码。

更糟糕的是,安全问题不仅涉及他们的网站,还涉及他们近 2000 名用户的个人数据。最重要的是,该网站旨在组织备受瞩目的 IT 活动(包括有关 IT 安全的活动)。

现在是三周后,什么都没有发生(即我既没有得到回复,也没有管理员更改密码)。如果我是管理员,我知道应该做什么。但是,当管理员不专业地处理问题时,如何处理这种情况呢?到目前为止,我今天只给他们发了第二封电子邮件。

我可以想到三件事要做,但我不确定我在这里是否合法?

  1. 向所有用户发送电子邮件,告知他们该问题。
  2. 在他们的主页上写一篇博文,例如“该网站已被入侵”。(我很想这样做。我觉得这在道德上很好,因为我不会改变任何其他东西,并且觉得他们的用户群需要知道这个问题。但我不确定如果我这样做是否会遇到麻烦那?)
  3. 通知联邦贸易委员会(该网站位于美国。)

你对我在法律和道德上允许和有义务做的事情有什么建议吗?

2个回答

如需法律建议,您需要寻求律师。在某些国家/地区,使用不属于您的帐户进行“测试”登录已经是非法的。

我会怎么做?

如果 IT 部门没有回答也没有解决问题,你应该尝试联系公司的其他人,尤其是高层管理人员、公共关系、客户关系、高层支持。

联系负责您或该公司的 CERT 。他们在从合适的人那里获得关注方面拥有丰富的经验。所以在这种情况下是美国 CERT

Bugtraq 邮件列表的版主也很有帮助。

其他想法

纸质邮件可能比电子邮件更容易引起您的注意,特别是如果它是带有送达确认的纸质邮件。

您可以尝试通过电话联系他们。这可能是最有效的方法,但请注意,他们以后不能声称您试图勒索他们。

您可以告诉他们,如果您无法联系到他们,您将尝试通过 xxxx-xx-xx(从现在起 2 周后)上的公共媒体联系他们,作为最后的手段。但再次说明,您只需要确认您的报告已收到。

您可以立即联系媒体,也许提前与他们达成一致,他们将在发布故事之前联系该公司。

您当然不应该滥用管理员帐户来更改他们网站上的任何内容,包括发表博客文章。

如果您在该 wiki 上的用户页面上将自己作为博客文章公开,我会以公开信的形式这样做:简短的介绍说,到目前为止,您与公司联系的所有尝试都失败了,因此,您发布这封信是希望该公司最终能注意到它。或许补充一下,您决定公开上市是因为您在道德上感到有压力警告那些个人数据处于危险之中的人。然后是原始电子邮件。编辑细节可能是个好主意(例如,如果维基页面仍在历史中,则密码和名称)。

在这种情况下,我很想援引汉隆的剃刀:永远不要把可以用愚蠢充分解释的东西归咎于恶意。他们可能不是邪恶的,他们可能只是将那个管理员帐户转到外部网页设计师/离开公司的员工/其他一些不受监控的电子邮件帐户。

我的建议是:

  • 给他们打电话,试着联系管理人员,用简单明了的语言告诉他们问题出在哪里。

  • 在斯堪的纳维亚半岛,我们有一个公司和基金会等的公共登记册。这个登记册可以在线访问,可以找到董事会成员的地址。如果您能做到这一点,请致电他们,或向他们发送一封信(纸质邮件)来解释问题,并且您已经尝试过两次才与网站管理员联系。这当然应该引起他们的注意。

不管你的个人感受如何,我不认为公开羞辱是正确的答案。我不介意因为他们的行为而羞辱他们。更重要的是:

  • 公开展示可能会邀请坏人在这些人的安全得到清理之前进一步破坏他们的系统。
  • 网站所有者可能很想积极地责备您,以便将注意力从他们自己的错误上转移开(这里是一个例子。)。
其它你可能感兴趣的问题
上一篇Facebook API:App Secret - 可能被滥用 下一篇Postgres 的 uuid_generate_v4 是安全随机的吗?