Konsekwencje prawne z publicznego ujawnienia luk w portalu

0

Witam.

Załóżmy, że istnieje sobie taki polski portal internetowy, który ma masę odwiedzin dziennie i zgarnia za swoje usługi sporo kasy. Niestety właściciele portalu to debile chcący zgarniać jak najwięcej kasy jak najmniejszym kosztem (czyt. okradać swoich użytkowników), konsekwencją czego jest masa luk związanych z bezpieczeństwem portalu. Informacja o tych lukach została jakiś czas temu podana opinii publicznej ale szczegóły utajniono. Błędy zostały naprawione po kilku dniach! Niestety jakiś czas po tym odkryłem, że serwis nadal zawiera inne, także niebezpieczne luki. Poinformowałem o tym obsługę klienta ale błędy nadal nie zostały naprawione. Weźmy na to, że 48h potrzeba obsłudze klienta na przetworzenie zgłoszenia, a 5 minut programiście na zaimplementowanie głupiego is_int. Ja czekałem 7 dni i się nie doczekałem. Uważam, że moje bezpieczeństwo i bezpieczeństwo innych użytkowników portalu jest zagrożone.

Czy zatem mogę publicznie udostępnić listę luk w postaci POC, aby inni użytkownicy danego portalu wiedzieli za co płacą i czym ryzykują?

Czy w takim wypadku właściciele portalu mogą podjąć przeciwko mnie jakieś kroki prawne?

Pozdrawiam

0

Ja bym zapytal ludzi, ktorzy pare razy cos takiego zrobi, jak powiedzmy hacking.pl, czy inne takie serwisy - nie wiem, nie interesuje sie specjalnie tematyka. Powinni powiedziec z doswiadczenia, czy mieli z tego powodu jakies nieprzyjemnosci.

0

No właśnie hacking.pl nie zrobili tego o co mi chodzi. Oni tylko mówią, że gdzieś dzwoni ale nie podają konkretnej parafii. A ja chcę zrobić wielki POC, który jakby się uprzeć mógłby być użyty do ataku na konkretnego użytkownika.

0

Nie pokazuj jak się włamać (używać luk) ale jakie są luki i do czego mogą doprowadzić. Zmyśli sobie sami poradzą, a niezmyślni będą przerażeni że takie coś nadal jest.

0

Tak czy inaczej przydałaby się prawna odpowiedź na postawione pytanie.

0
Komorkowy_dzony napisał(a)

Jak pokazesz jak sie tam wlamac to bedziesz mial przejebane!!!!!!!! swoja droga jak mozesz sie tam wlamac to napisz do nich maila ze jak za 3 dni nie naprawia bledu wykradniesz wszystko co mozna i zrobisz z tym co cchesz na niekozysc portalu najlepiej pojedz do innego miasta i napisz to z jakiejs kafejki i tyle pozniej przeporwadz z innego miejsca atak i pobranie danych

Zrobiłem jak powiedziałeś ale mnie złapali :( Teraz siedzę :( Do zobaczenia za 10 lat ....

A tak na poważnie, to chodzi o serwis Allegro. Mimo iż sprawę nagłośnił hacking.pl, a Allegro na łamach serwisu onet.pl oświadczyło, że nic takiego się nie stało i że wszystkie luki zostały załatane to... jeszcze długo po tym istniało wiele innych. W momencie pisania tej odpowiedzi luki, o których informowałem serwis zostały naprawione. Tylko dlaczego musiałem się o to aż DWA RAZY upominać? Co do błędów to między innymi jeden z nich pozwalał na atak XSS w momencie kiedy ofiara otworzy okno edycji swojej aukcji. Oczywiście taki delikwent wpierw musi otworzyć odpowiednio spreparowany link ale ten z kolei może być sprytnie ukryty w mailu, który do złudzenia przypomina ten wysłany przez serwis Allegro, bo większość programów pocztowych (w tym webmail) parsuje nagłówki wiadomości ustawiane przez program pocztowy zamiast parsować nagłówki ustawione przez serwer pocztowy.

Komorkowy_dzony - w tym wypadku musiałbym skompromitować użytkowników serwisu a nie o to mi chodzi. W sumie to Allegro jako nasz drogi (bo pobiera prowizję) monopolista mógłby ustąpić troszkę miejsca na rynku na rzecz zagranicznego inwestora.

0

a mi chodzilo o to zeby ich zmusic do naprawienia bledu

0
Komorkowy_dzony napisał(a)

a mi chodzilo o to zeby ich zmusic do naprawienia bledu

Taa, ale popelniasz przestepstwo. Do tego informujesz ich, kiedy je popelnisz, co pozwala im sie na Ciebie zasadzic i namierzyc.

//edit
Jako, ze juz po raz drugi w ciagu ostatnich dni slychac o hacking.pl, to mam inny pomysl. Jezeli nie mozesz zrobic tak jak tu to mozesz po prostu dac znac hacking.pl, zeby zamiescili u siebie na stronie informacje. Pozostaje liczyc na to, ze chetne media rozdmuchaja informacje :)

0

porozmawiaj z dziennikarzami najlepiej z duzego czasopisma (gazeta wybiórcza?) powinni to łyknąc, jesli udowodnisz im, że można w ten sposób komus zaszkodzic na duuże pieniądze.

0
flabra napisał(a)

porozmawiaj z dziennikarzami najlepiej z duzego czasopisma (gazeta wybiórcza?) powinni to łyknąc, jesli udowodnisz im, że można w ten sposób komus zaszkodzic na duuże pieniądze.

Ale ja nie znam żadnych dziennikarzy. Poza tym pytanie było o konsekwencje prawne ;)

Co do wspomnianej gazety to po przeczytaniu http://hacking.pl/pl/news-6365-Gazeta_Wyborcza_o_Hackingpl.html nie sądzę aby byli chętni pomóc.

Do hacking.pl pisałem ale nie zareagowali.

Poza tym nie wiem czemu wszyscy tak dziwni odnosza się do XSS i podobnych? Przecież nie trzeba być specem od socjotechniki aby wciśnąć komuś spreparowanego linka. Wystarczy odpowiednio spreparować e-mail, w tym wypadku od Allegro, co nie stanowi żadnego problemu.

1 użytkowników online, w tym zalogowanych: 0, gości: 1