最近,我发现了一家公司的数据库泄漏,我不知道如何联系该公司。太奇怪了,因为我找不到任何类型的“信息安全”联系电子邮件进行举报。它只有一封支持电子邮件。将链接发送到支持电子邮件感到不舒服。

我应该向该公司寻求信息安全电子邮件联系人还是应该怎么办?
顺便说一句,该公司的支持电子邮件更多是欺诈或客户支持电子邮件技术支持或安全性。拥有,发行或与公司有任何关系的网站,该网站似乎很可能是数据库的发起者。但是,我在使用互联网搜索功能时找到了数据库。我没有使用任何特殊工具或计算方法。我不是知道所有数据库或泄漏在哪里的魔术师。我确实偶然发现了Internet上不应该出现的内容。

我发现数据库的方式是合法的,而不是非法的。

评论

小心踩一下!最近的文章供您考虑。 arktimes.com/arkansas-blog/2020/05/18/…。
@ user10216038,这样人们就不必解析冗长的文章:有些组织在收到违规通知时感到非常震惊,以至于抨击通知他们的人是违规的原因。 A.K.A. “射击信使”。在有关该文章的情况下,用户在网站上发现了一个漏洞,因此,该用户因涉嫌滥用适当用途和违反网络法律而受到怀疑。
想到这一点,wired.com / 2013/03 / att-hacker-gets-3-years
@DeanMacGregor这是非常不同的情况。几乎在所有方面。虽然我完全认为正确的起诉应该是苹果公司而不是韦夫公司,但他当然对自己的实际行为或事后行为没有任何帮助。至少声称他/他们揭示漏洞的方式充其量是值得商at的。
我也在自己的国家numerama.com/magazine/…。在我的国家/地区,您会因违反隐私法(未能保护数据)而与当局联系。

#1 楼

不要将安全信息提供给非安全人员。使用任何可用的联系方式来请求合适的安全人员。在找到可以理解的内容之前,不要提供有关发现内容的详细信息。

然后提供有关发现内容的详细信息。不要要求奖励或要求采取任何行动,否则您很可能不会受到重视。只需提供帮助,然后由他们来处理即可。

我不确定您需要哪种模板。为他们提供所需的信息/步骤,以查找您找到的信息。如果您听起来太“脚本化”,您可能听起来像个骗子。是人类。有帮助。

评论

至于查找联系人,您可以通过在他们的网站URL末尾标记/.well-known/security.txt来查看他们是否已采用security.text标准,并查看那里是否有文件。

–anaximander
20 May 27'7:32
@anaximander似乎甚至没有SE遵循该标准

–lucidbrot
20 May 27 '10:16
@lucidbrot可能是因为这不是标准。三个月前提交了RFC草案。这是一个提议的标准,几乎没有人听说过。好主意。

–亚伦F
20 May 27 '11:15
@anaximander根据您的“标准”:“将Internet草案用作参考资料或引用它们而不是“正在进行的工作”是不合适的。该互联网草案将于2020年8月28日到期。

–没人
20 May 27 '14:41
@我所知没有人,它仍然是拟议的标准(可能应该已经澄清了),但是我知道有很多站点正在采用它。在这个领域中的许多事情在完全正式之前就已被采用。

–anaximander
20 May 27 '14:44

#2 楼

如果没有运气找到联系方式,一种选择是与您所在国家或实体所在国家的全球CERT列表中的CERT(计算机/网络紧急响应小组)联系。这些组织通常采用联系适当人员的方法(在受影响的实体和国家主管部门之内)。认真,而不是与随机和未知的人联系。 Troy Hunt撰写的一篇文章介绍了他使用AusCERT处理澳大利亚红十字会数据库泄漏的经验,他对AusCERT的性能提出了自己的看法。我建议阅读全文,但请跳至“ AusCERT和红十字会对事件的处理”以获取Troy的摘要。

评论

如果公司未在任何可见的地方列出安全联系人,则可以肯定他们不会将安全视为重要。恕我直言,最明智的做法是如上所述联系CERT,让他们随心所欲地处理此事。

–TermoTux
20 Jun 10'20:17


#3 楼

最初的前提:发现是合法获得的

您需要找出谁是他们的安全联系人,应该就发现的安全错误与组织中的谁联系。如何组织(或不组织)完全取决于组织。完全由他们决定是否忽略或误解您,因此请记住这一点并设定您的期望。有时是最终找到合适的人的有用方法。您正在提供帮助,他们可以拒绝或忽略。建立联系,建立对话,如果可以的话,提供建议,尝试评估联系人的技术水平以及他们对学习和解决问题的兴趣。

评论

有时,您可能会很想在Linkedin上查找公司,并试图找到具有相关职位的人。 GDPR意味着现在有更多公司拥有专门负责数据保护和安全的人员/经理。

– bta
20-05-26在19:02
所有受GDPR约束的处理个人数据的公司现在都需要一名数据保护官(DPO)。这可能是个好人。

–大卫
20-05-26在23:16
@David是的,他们必须而且应该,但并非总是如此。

– Pedro
20 May 27 '11:17
@Pedro:最坏的情况是,OP现在有两个问题可以与公司讨论。数据泄漏,并且没有人来处理该泄漏。

–Jörg W Mittag
20-05-28在7:58
是的,他们会的。我很愤世嫉俗,因为我经常看到这种情况发生。大多数组织仍然不了解公开信息,还没有准备好,并且经常不使用提供给他们最大收益的方式使用信息。

– Pedro
20-05-28在8:21

#4 楼

您想付出多少努力以及为什么要做出努力?

省力,“我不在乎他们,我只是想成为一个好人”答案:自己丢了一封电子邮件。向他们发送一条消息至支持地址,开头是“请转发给CISO或其他负责信息安全的人员”,并让他们知道您在哪里找到了您希望没有答案或补偿的地方,并祝您愉快,再见。 br />
如果出于任何原因在乎,请通过电话与他们联系并与安全负责人联系。超越一级人员有一种技巧,他们可能会掠夺您,然后再试一次-您很可能在呼叫中心,并且第二次会遇到另一个人。
亲自给您的消息应该是一样:发现的东西,找到的地方(不要直接将其发送给数据库,而是将它们指向可以自己找到它的地方!),您不希望得到任何补偿,祝您有美好的一天。

非常重要的一点是,要明确指出您不勒索他们。消息“我有您的一些秘密数据”很容易被视为威胁。

高效解决方案:该公司的CISO可能在LinkedIn或其他专业网络上。尝试在那里找到他并直接联系。如果不是,请给他们写一封书面信,写给CISO和/或首席执行官(CEO的名字应该很容易在公司目录中找到)。亲信仍然比电子邮件更为重视,并且通常会尊重地址信息,即,如果以姓名将姓名写给首席执行官,则将由其秘书而不是某些呼叫中心代理打开。

评论

为什么要丢掉电子邮件?不,您不会将敏感的安全信息发送给客户支持热线。这使情况变得更糟。 “我不在乎,我只是想成为一个好人”。在您提供的示例中,您不是一个好人。您可能觉得自己是一个好人,但弊大于弊。通过电话联系是不现实的。我永远不会接到一个陌生人的电话。首先给我发送电子邮件,提供详细信息供我验证。这个答案提供了不好的建议,而且根本不现实。照我说的做,请正确的联系...

– schroeder♦
20-05-27在9:45
包含高度技术信息的致CEO的信更有可能被装箱,而不是被认真对待。

– schroeder♦
20 May 27'9:47

#5 楼

考虑将信息交给像Troy Hunt这样的公正,知名的票据交换所。 />这样,您就可以完全保持匿名。

评论

我会非常小心地踩在那儿。即使您已经合法地获得了泄漏的信息,与不应该访问的其他人共享泄漏信息也很可能是非法的。尤其是因为对于拥有该信息的公司而言,这并不明显。

– Erik A
20-05-28在7:57
我居住的地方可能是非法的。谢谢你的建议。

–要求必须
20年6月25日在18:52

#6 楼

万一相关司法管辖区没有CERT组织(虽然您阅读此职位的机会很高,您居住在一个国家或地区,而另一家公司位于该国家)的可能性更大,那么您可以找不到与公司相关人员联系的任何其他方式,但是您需要更加小心的一种方式是与主管信息安全的中立记者联系。可以理解的是,大多数公司都不愿意听随机的人突然发出消息,说他们发现一个泄漏的数据库无处不在。但是,记者在有意义的方式上与随机的人不同:


他们拥有更多的公共在线足迹,可以轻松找到并表明他们知道自己在说什么;
他们自己和雇主都有维护自己的声誉,因此给人更好的印象是,这很严重,他们不是为了快速获胜而这样做;之所以要做出有效的回应,是因为公司极力劝阻不要忽视报道违规行为的记者。公司遭受的最严重的PR噩梦之一是报纸上的一篇文章,描述了公司数据库被黑客入侵并且PII向所有人公开提供的情况,其中一段详细说明了如何多次与公司联系而没有任何回应。 >
注意:您肯定会需要一位知名出版物的资深记者。您确实不应该选择耸人听闻的小报或政治偏见严重的网站/电视台。我并不是说您应该立即访问The Verge或The Register这样的网站。特别是对于那些主要集中在少数城市或小区域的小型公司,与城镇报纸或当地广播电台一起去比较明智,因为这样可能会增加与记者和出版物的熟悉度。

最后一句话是,这条路线几乎总是在泄漏成为极度公开的情况下结束。因此,仅当万事万物都陷入死胡同时,才应将此作为最后的手段。您需要绝对确保此结果是您想要的,并且比保持安静更好。肯定有一些公司在这样的文章中在社会各个层面上都可能造成极其深远的复杂性,甚至会破坏友谊,结束婚姻并破坏生命。

#7 楼

在发布此答案之前,我犹豫了一下,因为它仅对Web应用程序有用,但是我认为它属于这里。其中一个。该提案称为security.txt,据我所知,该文件仍是草案。


security.txt(简单地说)

对于一家公司

它由在公司网站的根目录中包含一个名为“ security.txt”的文本文件组成,例如:example.com/security.txt,也可以放在.well-known文件夹:example.com/.well-known/security.txt中。这个想法是将有关如何报告安全问题的所有必要信息放在此文件中。

对于安全研究人员

如果该建议得到广泛采用,以防万一安全研究人员发现了特定公司的安全问题,他应该寻找该特定文件,并希望能够知道如何解决(报告)。

有关security.txt的更多信息



https://securitytxt.org/
https://github.com/securitytxt/security-txt
像Github,Google, Facebook&Reddit已经采用了以下约定: br />facebook.com/security.txt
reddit.com/security.txt