Grazie Apprezzo tantissimo il contributo, ma diciamo cosi un mio amico si è trovato in situazioni simili ma molto meno pesanti di quella descritta da te, quindi un pochetto conosco le dinamiche.
D'altra parte mi aspetto però che se una azienda si registra su un sito di bugbounty (lo spero perlomeno) sia in un certo senso pronta a mettersi in gioco (non ho tantissima esperienza in marito vado un pò di logica...) o comunque ci si base su una sorta di contratto. Mi sono sempre fatto queste domande (avendo una sensibilità molta alta su questi temi) su come ci si deve comportare per essere meno invasivi e trovare il giusto trade-off tra evidenziare, supportare etc. cmq grazie ancora ... perchè sia pagato, sia non pagato, sia per lavoro, sia per hobby queste problematiche ci sono e vanno in qualche modo gestite e mitigate Il giorno mar 30 apr 2019 alle ore 12:35 Piermaria Maraziti < [email protected]> ha scritto: > On 28/04/19 14:43, roberto diana wrote: > > > e grazie ancora dei consigli, apro una piccola parentesti per > sull'argomento > > bugbounty, consigli di avere delle assicurazioni personali ? qualcuno > mi ha > > parlato di questo aspetto... > > My 2 cents da esperienza personale recente (essendo esperienza personale > quindi non fa statistica). Mi scuso per la lunghezza ma va circostanziata. > > Sono il "responsabile dei webmaster" di una grossa associazione (qualche > migliaio di soci) il che implica fare soprattutto da sistemista. > Tempo fa l'associazione ha deciso di dare in outsourcing i servizi quindi > io > gestivo il server interno, che sarebbe stato di lì a poco dismesso, e non > avevo voce in capitolo sui servizi acquistati dalla ditta esterna. > Vari soci nel frattempo mi avevano segnalato problematiche di sicurezza, > alcune banali (mixed content) o farlocche (dati importati ad cazzum tipo > CAP e > telefono troncati 00155 -> 155 06999999 -> 6999999 con errore banalmente > evidente), altre meno (visibilità di dati di altri soci o di documenti > riservati solo a certe cariche banalmente cambiando id numerico in una GET > - > insomma, l'errore è banalmente chiaro). Addirittura ad un certo punto, cosa > che ho verificato personalmente, era possibile tramite una chiamata REST, > visualizzare la password in chiaro (tramite questa era poi possibile > autorizzare il trattamento dei dati ad un socio che non l'avesse fatto, di > fatto impedendogli l'esercizio di un diritto - potenzialmente quindi un > data > breach anche se le opinioni divergono). > > Avevo già segnalato le prime problematiche e ho poi segnalato anche quella > della password chiarendo che poteva essere considerato un data breach e > che il > minimo d'azione sensata sarebbe stato l'imporre il cambio e recupero di > tutte > le password degli utenti (e, chiaramente, avvisarli). > > Ora, è chiaro che la mia verifica fosse al limite delle mie competenze: in > realtà al di fuori (essendo un sistema esterno) ma nell'interesse > dell'associazione (data breach potenziale, interesse dei soci per i loro > dati, > interesse del consiglio per i documenti riservati). Sentenze di Cassazione > classificano questo come non reato, non approfondirò qui ora. > > Il risultato comunque è che ho ricevuto minacce di querele > dall'associazione > (che mi ha rimosso dall'incarico, lasciando sguarnito da controllo il > server > interno) e della ditta esterna. Il tutto ormai si è sgonfiato ma, insomma, > comunque ho dovuto allertare il mio avvocato e spiegare che un'eventuale > querela avrebbe anche portato problemi all'associazione (per il potenziale > data breach e le azioni non effettuate: infatti ancora oggi le password non > sono state modificate né è stato ammesso che quella problematica fosse mai > esistita). > > Insomma: sono volatili per diabetici quindi *occhio*. > > Ciao! > > PS: chiunque qui riconosca i fatti è pregato di non fare NESSUN nome. Sono > stato ben attento a non rendere facile l'identificazione degli attori e > vorrei > che nessuno lo facesse. Ovviamente io per me mi sono esposto per voglia di > condivisione di un'esperienza importante. > -- > ---8<----------------------------------------------fnord------ > Piermaria Maraziti [email protected] piermaria.maraziti.it > principiadiscordia.it hovistocose.it americancomics.it noob.it > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > >
