On 28/04/19 14:43, roberto diana wrote: > e grazie ancora dei consigli, apro una piccola parentesti per sull'argomento > bugbounty, consigli di avere delle assicurazioni personali ? qualcuno mi ha > parlato di questo aspetto...
My 2 cents da esperienza personale recente (essendo esperienza personale quindi non fa statistica). Mi scuso per la lunghezza ma va circostanziata. Sono il "responsabile dei webmaster" di una grossa associazione (qualche migliaio di soci) il che implica fare soprattutto da sistemista. Tempo fa l'associazione ha deciso di dare in outsourcing i servizi quindi io gestivo il server interno, che sarebbe stato di lì a poco dismesso, e non avevo voce in capitolo sui servizi acquistati dalla ditta esterna. Vari soci nel frattempo mi avevano segnalato problematiche di sicurezza, alcune banali (mixed content) o farlocche (dati importati ad cazzum tipo CAP e telefono troncati 00155 -> 155 06999999 -> 6999999 con errore banalmente evidente), altre meno (visibilità di dati di altri soci o di documenti riservati solo a certe cariche banalmente cambiando id numerico in una GET - insomma, l'errore è banalmente chiaro). Addirittura ad un certo punto, cosa che ho verificato personalmente, era possibile tramite una chiamata REST, visualizzare la password in chiaro (tramite questa era poi possibile autorizzare il trattamento dei dati ad un socio che non l'avesse fatto, di fatto impedendogli l'esercizio di un diritto - potenzialmente quindi un data breach anche se le opinioni divergono). Avevo già segnalato le prime problematiche e ho poi segnalato anche quella della password chiarendo che poteva essere considerato un data breach e che il minimo d'azione sensata sarebbe stato l'imporre il cambio e recupero di tutte le password degli utenti (e, chiaramente, avvisarli). Ora, è chiaro che la mia verifica fosse al limite delle mie competenze: in realtà al di fuori (essendo un sistema esterno) ma nell'interesse dell'associazione (data breach potenziale, interesse dei soci per i loro dati, interesse del consiglio per i documenti riservati). Sentenze di Cassazione classificano questo come non reato, non approfondirò qui ora. Il risultato comunque è che ho ricevuto minacce di querele dall'associazione (che mi ha rimosso dall'incarico, lasciando sguarnito da controllo il server interno) e della ditta esterna. Il tutto ormai si è sgonfiato ma, insomma, comunque ho dovuto allertare il mio avvocato e spiegare che un'eventuale querela avrebbe anche portato problemi all'associazione (per il potenziale data breach e le azioni non effettuate: infatti ancora oggi le password non sono state modificate né è stato ammesso che quella problematica fosse mai esistita). Insomma: sono volatili per diabetici quindi *occhio*. Ciao! PS: chiunque qui riconosca i fatti è pregato di non fare NESSUN nome. Sono stato ben attento a non rendere facile l'identificazione degli attori e vorrei che nessuno lo facesse. Ovviamente io per me mi sono esposto per voglia di condivisione di un'esperienza importante. -- ---8<----------------------------------------------fnord------ Piermaria Maraziti [email protected] piermaria.maraziti.it principiadiscordia.it hovistocose.it americancomics.it noob.it ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
