it-swarm.com.de

Mein alter Job hat massive Sicherheitslücken in ihrem Produkt, aber es ist ihnen egal

Ein Unternehmen, für das ich früher gearbeitet habe, hat ein Point-of-Sale-System entwickelt, das auch einen E-Commerce-Anteil hat. Während meiner Arbeit dort entdeckte ich massive Mängel an ihrem Sicherheitsmodell.

Einfach ausgedrückt gibt es 0 serverseitige Validierung. Jeder Benutzer, der angemeldet ist oder nicht, kann Dinge wie das Bearbeiten von Preisen, gefälschte Transaktionen, das Durcheinander mit Arbeitszeitnachweisen usw. bequem von zu Hause aus erledigen.

Ich habe dies mehrmals mündlich gemeldet, aber es wurde größtenteils als keine Priorität ignoriert.

Seitdem haben sie ihren Kundenkreis erweitert und bedienen nun einige Kunden. Ich habe überprüft, dass die Exploits immer noch genauso funktionieren wie vor einigen Jahren.

Ich habe kein Interesse daran, diesem Unternehmen ein Gesicht zu sparen. Sie haben mich und viele andere sehr schlecht und missbräuchlich behandelt und Überstunden ohne Bezahlung und ähnliche Verstöße erzwungen.

Wie kann dieses Sicherheitsproblem am besten gemeldet werden? Sende ich eine E-Mail an ihre Kunden? Oder sollte ich den Angriff öffentlich bekannt geben und das Internet damit umgehen lassen?

edit : Ich möchte hinzufügen, dass die Exploits nicht kompliziert oder undurchsichtig sind. Jeder, der devtools in seinem Browser öffnet, kann herausfinden, dass er die Daten einfach im laufenden Betrieb bearbeiten kann

edit 2 : Nachdem ich alle diese Antworten gelesen habe, sende ich dem Unternehmen eine anonyme E-Mail mit einem POC. Ich werde ihnen auch eine Frist von 60 Tagen geben, um das Problem zu beheben, bevor ich es ihren Kunden melde

21
ItsNotMe

Ein kurzes Wort der Vorsicht

Sie klingen sehr investiert in den Versuch, etwas zu tun. Wenn ich ehrlich sein kann, klingt es so, als ob Sie zumindest teilweise von Ihren Frustrationen über die Art und Weise motiviert sind, wie das Unternehmen Sie als Mitarbeiter behandelt hat. Dies kann verständlich sein, führt aber nicht unbedingt zu guten Entscheidungen. Eine Option, die Sie erwähnen (Kunden kontaktieren und sie über die Probleme informieren), ist die Art von Dingen, die zu Recht oder nicht und unabhängig davon, wie sie enden könnten, zu Klagen führen können, die Ihr ehemaliger Arbeitgeber gegen Sie eingereicht hat. Also leicht treten. Alles in allem ist das wahrscheinlich eine sehr schlechte Idee.

Die (fehlerhafte) Geschäftsperspektive verstehen

Leider ist die von Ihnen beschriebene Situation in der Softwareindustrie nicht ungewöhnlich. Aus der Sicht vieler Unternehmen besteht die Frage nach Sicherheitsproblemen darin, dass sie echtes Geld (in Bezug auf Entwicklergehälter) ausgeben müssen, um ein Problem zu beheben, das sie nicht für einen Vorteil sehen können, der möglicherweise lange Zeit nicht benötigt wird (möglicherweise sogar) Es dauert eine Weile, bis jemand versucht, sie zu hacken. Es ist ein versteckter Vorteil mit Vorabkosten, und das kann kurzsichtiges Denken für lange Zeit leicht ignorieren. Aus ihrer Sicht haben die Dinge, mit denen Sie eine große Sache machen, nie wirklich Probleme verursacht, aber es wird definitiv viel Zeit und Mühe kosten, sie zu beheben. Warum also sollte sie beheben sie? (Ich sage nicht, dass sie Recht haben, ich erkläre nur den Denkprozess).

Es ist wichtig zu verstehen, dass dies offensichtlich der Ansatz ist, den Ihr ehemaliger Arbeitgeber verfolgt. Sie haben sie über das Problem informiert und sie haben beschlossen, es zu ignorieren. Es gibt keinen Grund zu der Annahme, dass eine (rechtliche) Maßnahme, die Sie als Außenseiter ergreifen können, dies ändern wird, insbesondere da Sie als Insider keine Änderungen vorgenommen haben. Natürlich wissen wir, dass es bei schlechten Sicherheitspraktiken unvermeidlich ist, dass jemand eine Schwachstelle findet und ausnutzt, insbesondere wenn er anfängt, echte Erfolge zu erzielen (d. H. Eine große Kundenbasis zu haben). Solange sich keiner ihrer Kunden die Zeit nimmt, sich proaktiv mit potenziellen Sicherheitsbedenken zu befassen (und die meisten nicht, weil sie nicht genug wissen, um richtig auszusehen, auch wenn sie sich darum kümmern), können Situationen wie diese überraschend weitergehen lange bevor es echte Probleme verursacht. Im schlimmsten Fall führt dies zu Situationen wie der Equifax-Sicherheitsverletzung . Für kleinere Unternehmen dies kann zu einer vollständigen Insolvenz führen .

Wirklichkeit

Was machst du dagegen? Wenn das Management über das Problem Bescheid weiß, sich jedoch weigert, Änderungen vorzunehmen, können Sie wahrscheinlich nichts tun, um sie zu Änderungen zu zwingen. Sie können Dinge ausprobieren, die Sie erwähnt haben, wie dies ihren Kunden zu melden, aber ihre Kunden nehmen Sie möglicherweise nicht ernst. Nach allem, was sie wissen, sind Sie einfach ein verärgerter Ex-Mitarbeiter, der versucht, Ihrem früheren Arbeitgeber Ärger zu bereiten. Wenn sie nicht genug wussten, um sich mit diesen Dingen zu befassen, bevor sie die Plattform nutzten, gibt es keinen Grund zu der Annahme, dass sie genug wissen, um Ihre Behauptungen jetzt ernst zu nehmen. Höchstwahrscheinlich werden Sie einfach ignoriert oder verklagt.

(Per @ Forest's Antwort) Sie sollten auf jeden Fall einen CVE einreichen. Sie können auch versuchen, Fehler über ein Fehlerprämienprogramm eines Drittanbieters einzureichen. Es gibt einige, die in den letzten Jahren aufgetaucht sind und versuchen, als neutraler Schiedsrichter zwischen "unabhängigen Sicherheitsforschern" (auch bekannt als Sie) und Websites zu fungieren, auf denen es sonst keine Programme zur Fehlerberichterstattung gibt (auch bekannt als Ihr ehemaliger Arbeitgeber). Natürlich funktionieren solche Programme nur, wenn das Unternehmen, von dem Sie Fehler melden, tatsächlich zuhört. Sie wissen bereits, dass Ihr ehemaliger Arbeitgeber dies nicht tun wird. Das Veröffentlichen und Ignorieren von Schwachstellen über Standardkanäle hilft ihren Kunden jedoch langfristig, wenn sie gehackt werden. Dies wird die Situation von einfacher Inkompetenz zu völliger Fahrlässigkeit ändern, was mit viel strengeren Geldstrafen vor Zivilgerichten verbunden ist (FYI: IANAL).

Alle weiteren (rechtlichen) Optionen variieren je nach Ihrer Gerichtsbarkeit. In Europa finden Sie möglicherweise einige Orte für rechtliche Schritte durch die DSGVO. An vielen Orten haben Sie jedoch wahrscheinlich keine Optionen, die ihnen sofort rechtliche Probleme bereiten könnten. Höchstwahrscheinlich wird das nicht passieren, bis sie gehackt werden und ihre Kunden klagen. Ein veröffentlichtes CVE hilft ihren Kunden in diesem Fall. In der Zwischenzeit klingt es so, als würden Sie darüber nachdenken, etwas öffentlich "im Internet" zu veröffentlichen. Was wäre dein Ziel dort? Realistisch gesehen werden Ihre Versuche, dies zu tun, vom Internet wahrscheinlich einfach ignoriert. Es ist jedoch möglich, dass sie dadurch viel früher gehackt werden. Ohne jedoch mehr Standardkanäle zu durchlaufen, erhöhen Sie wahrscheinlich Ihr eigenes Risiko für rechtliche Auswirkungen dramatisch. Daher würde ich mich persönlich an offizielle Kanäle halten.

Auch hier kann ich Sie falsch verstehen, aber ich denke, Ihre Frage kommt größtenteils von jemandem, der wütend auf einen früheren Arbeitgeber ist und in gewissem Maße versucht, Ärger zu verursachen. Das ist eine gute Möglichkeit, sich in rechtliche Schwierigkeiten zu bringen oder sich zumindest einen schlechten Namen zu machen, wenn Sie versuchen, in Zukunft Arbeit zu finden. Ich denke, Sie sollten versuchen, dies nicht mehr aus der Perspektive eines ehemaligen Mitarbeiters zu betrachten, sondern sich mehr auf die Perspektive eines neutralen Sicherheitsforschers konzentrieren.

22
Conor Mancone

Fordern Sie einen CVE an!

Wenn Sie sich überhaupt darum kümmern, potenziell massive Verstöße zu verhindern, müssen Sie das Problem unbedingt auf die eine oder andere Weise offenlegen. Wenn Sie dies nicht erreichen können, indem Sie sich an die Entwickler der anfälligen Anwendung wenden, sollten Sie eine CVE-Zuweisung anfordern für das Problem. MITRE wird sich um den Rest kümmern.

8
forest

Ich habe gerade festgestellt, dass Sie Ihren "alten Job" gesagt haben. Meine Antwort unten steht noch, hängt aber davon ab, ob Sie noch Kontakte zu Verantwortlichen innerhalb des Unternehmens haben.

Wenn Sie das Problem mündlich gemeldet haben und es ignoriert wurde, versuchen Sie, das Problem schriftlich zu melden. Möglicherweise eskalieren Sie das Problem und kopieren Sie Personen weiter oben in der Kette. Möglicherweise müssen Sie mit dem Management sprechen und Risiken, Kosten und Nutzen für die Sicherheitsupdates angeben. Erklären Sie, warum dies Vorrang vor anderen Elementen haben sollte. Bieten Sie dem Management eine Demonstration an, um zu zeigen, wie einfach die Exploits sind, und weisen Sie darauf hin, dass der Ruf des Unternehmens stark geschädigt wird, sobald jemand sie findet.

Vielleicht können Sie einen Weg finden, die Idee zu verkaufen, dass Ihr Unternehmen einen Sicherheitsprüfer anstellt, um Schwachstellen zu finden. Wenn Ihr Management auf Ihre Sicherheitsbedenken als "Oh, Bob flippt wieder wegen nichts aus" reagiert, wird ein Prüfer möglicherweise ernster genommen. Ich bin mir sicher, dass es in einigen Ländern gesetzliche Anforderungen gibt, die ein Unternehmen erfüllen muss, um mit personenbezogenen Daten umzugehen. Möglicherweise können Sie das Management der Idee verkaufen, wenn Sie ihnen mitteilen, dass Sie nicht sicher sind, ob Sie die Vorschriften einhalten, und Das Audit muss durchgeführt werden, bevor ein Kunde klagt. Obligatorisch "Ich bin kein Anwalt".

Wenn das nicht funktioniert, kann ich nicht sagen, dass ich Kunden per E-Mail oder öffentliche Offenlegung der Sicherheitslücken empfehle, es sei denn, Sie sprechen zuerst mit einem Anwalt und der Anwalt sagt Ihnen, dass Sie im klaren sind. Ein Unternehmen, wie Sie es beschreiben, würde die Situation wahrscheinlich nicht als "Oh, jetzt müssen wir das beheben" sehen, sondern als "Ein verärgerter Mitarbeiter versucht, unser Geschäft zu zerstören, wir müssen uns wehren."

Dinge, die Sie von außerhalb des Unternehmens tun können :

Nachdem ich gelesen hatte, dass Sie nicht mehr in diesem Unternehmen arbeiten, hatte ich eine andere Idee: Möglicherweise können Sie sich anonym als interessierter Käufer des Produkts Ihres Unternehmens ausgeben und Fragen stellen, die darauf hinweisen, dass Sie sehr daran interessiert sind, sicherzustellen, dass Ihre Daten sicher sind. Fragen Sie, ob sie Sicherheitsüberprüfungen durchführen, ob sie Sicherheitszertifizierungen haben, welche Vorschriften sie befolgen, solche Dinge. Hoffentlich wird sich jemand im Marketing nicht nur generische Antworten ausdenken und sich bei einem Entwickler oder jemandem erkundigen, der für etwas verantwortlich ist. Vielleicht wird "einen Verkauf verlieren" aufgrund ihrer zwielichtigen Sicherheitspraktiken die Priorität für sie höher legen.

3
Tophandour

Da Sie keinen Standort offenlegen, empfehle ich, sich an die Strafverfolgungsbehörden zu wenden, da das Unternehmen möglicherweise gegen mehrere Gesetze verstößt - insbesondere, weil diese mit Finanztransaktionen operieren. Normalerweise informiert Sie die von Ihnen kontaktierte Strafverfolgungsbehörde dann darüber, an wen Sie sich tatsächlich wenden sollten. Dies kann eine andere Abteilung der Strafverfolgung, eine Verbraucherschutzorganisation oder überhaupt niemand sein.

Die Offenlegung des Sicherheitsproblems gegenüber der Öffentlichkeit oder ihren Kunden oder die Drohung, dies zu tun - vor dem Hintergrund eines verärgerten Mitarbeiters - ist eine weitere Möglichkeit, die Strafverfolgung einzubeziehen. Eine, die Sie vermeiden möchten.

0
Peter