我在家经营一家小型的互联网企业,并以此为生,以养家糊口,但我仍然是一个单身男人,互联网安全与我的专业领域相距甚远。
昨天,我收到了两封来自一个自称为“道德黑客”并识别出我系统中的两个漏洞的人,他说这些漏洞可以被黑客利用。我相信他。
问题是,在每封电子邮件的底部,他说他“期望得到报酬”。这是勒索吗?这是他说您最好付给我钱的方式,还是我要给自己造成严重破坏?还是这是人们没有任何恶意意图就可以谋生的一种典型合法方法?一种是将我的SPF记录的“?all”部分更改为“ -all”,以阻止所有其他域发送有关我的域的电子邮件。在另一封电子邮件中,他解释了如何在iframe中显示我的网站(启用了一种称为“点击劫持”的技术),并且他还提供了示例代码以及有关如何防止它的说明。

评论

这是敲诈吗? -是的这是人们没有邪恶意图的一种典型合法的谋生手段吗? -不。
我相信他你不应该。
注意其他人说的话,但您也应该考虑这个人是谁。大多数(即使不是全部)“道德黑客”在安全邮件列表上都有悠久而开放的历史,并且在发现和修复(或至少分析)漏洞方面都有形式,他们不仅仅是在这里进行缺陷和扫描的“脚本小子”用于展示它的系统。
现在有两个近票。除了关闭,可以将其迁移到Information Security SE。
根据对InfoSec SE的评论:如果完全没有回答,则将是:漏洞是,当向网站所有者发送社交工程电子邮件时,网站所有者将无故汇款。这可能会导致利润损失。应该立即修复此漏洞。来源

#1 楼

一个真正的“道德黑客”会告诉您他在您的系统中发现了什么问题,而不是要钱。 (s)他可以提出将其修复为承包商,但这是在告诉您实际问题是什么之后;在任何情况下,它都与试图吓you您付款完全不同。
这是简单明了的勒索。
(此外,很可能没有真正的漏洞,有人只是想骗你不付钱。)

评论

尽管这可能是勒索,但它并不是那么简单明了。因此,我就如何处理未经请求的漏洞报告写了一个更全面的答案。

– Esa Jokinen
20/09/9在7:33


@Massimo您必须考虑一个道德黑客应该如何活出自己的工作,然后才能为一个“真正的”道德黑客设定准绳。在实践中,很少有企业会补偿所完成的工作-小公司无法评估工作的价值,并且往往没有钱。大公司往往会在有道德和无道德的地方都省钱,省掉钱。 (哦,这不能是勒索,这需要一种不会发生的威胁,并威胁到非法行为。)

–toolforger
20年9月9日在18:01
@Vincent:SPF绝对不是漏洞修复程序。这纯粹是一种在收件人的回信地址上为您的域提供邮件建议的收件人,以帮助他们评估是否为垃圾邮件。几乎可以肯定,这只是他们扔给您的东西,可以用来改善您的基础设施,使它们看起来像是值得您花钱的东西。

–R .. GitHub停止帮助ICE
20年9月9日18:20
如果您不付款,勒索就意味着后果。在这种情况下,“道德黑客”从未威胁要采取行动(除非我错过了这么多评论)。因此,这不是敲诈。

–彩虹
20/09/10在14:15


@Rainbolt“那是一台不错的服务器,我注意到它存在一些漏洞。如果有人利用它,那将是非常可耻的……”我的意思是,从技术上讲这不是敲诈,您从未明确威胁任何人,但效果相同。

–probably_someone
20/09/11在0:43


#2 楼

虽然这可能是敲诈,但也有很多实现真诚意图的可能性。因此,这里有一些关于如何处理未经请求的漏洞报告的更全面的想法。简而言之:您有充分的谨慎态度,但不必无礼。
谁会发现漏洞以及原因?
道德的黑客通常根据具有预定目标和限制的合同来进行分析。这些可能是有序的分配,或者是直接地或通过像HackerOne这样的平台进行的松散定义的赏金计划。无论如何,道德黑客(或白帽黑客)总是会得到明确的许可。但缺乏了解-或不愿意遵守道德标准。后者的灰色帽子甚至可能违反法律,但它们没有恶意意图。渗透测试行业也非常流行,因此有各种各样的自我任命的渗透测试人员,道德黑客,安全研究人员等,他们的技能各不相同(或完全缺乏)。在这种情况下,他们可能会从一些温和的指导中受益,而错误的指控可能会导致他们走向错误的方向。
我偶然发现了多个漏洞,而无意以任何方式戳破系统。这些案件通常比较严酷,我很犹豫是否要根本不举报,匿名举报或以我的名字举报,这将使我有可能帮助他们进一步提出问题。现实情况是,由于我没有获得许可,接收方可能以意想不到的方式解释或处理我的报告,这可能导致我承担法律责任或其他问题。到目前为止,他们对我很同情。
您从这些发现中受益吗?
您被要求为调查结果付费,但是在不知道细节的情况下,您无法确定它们是否值得支付。漏洞有各种形式和规模。其中一些很关键,而有些则很小。从外部看,有些问题似乎也存在问题,但与您完全无关,或在您可接受的风险之内。一个根本无法以碎片,成捆,千克或升的形式出售漏洞。
我最近收到的两个完全毫无价值的报告的两个示例,都是出于真诚的意图。


提示消息查找受HTTP基本身份验证保护的网页的奖励,这实际上不是安全的身份验证方法。但是,由于它只是实际登录页面之前的另一层安全保护,并且无论如何也不能保护任何关键系统,因此它根本不是漏洞。因此,该发现对该公司具有零价值。


报告缺少SPF记录。解释是正确的,所有的,但是记录没有丢失!代替从DNS查询,“漏洞赏金猎人”使用了基于Web的SPF查找工具,但是使用了http://example.com而不是example.com。由于此语法错误,因此没有显示该记录。因此,为了判断该值,必须披露该漏洞的一些详细信息。如果发现该漏洞的某人认为泄露这些详细信息可能会导致失去奖励,则该漏洞实际上可能毫无价值:已知的漏洞,易于使用自动化工具发现,处于可接受的风险范围内,太小或无关紧要。另一方面,如果漏洞很严重,那么它通常也是如此复杂,以至于提供一些概念证明并不能完全帮助修复它。描述和解决该漏洞所需的其他工作很有价值,并且将获得报酬。

评论

OP还提到了类似的声称,即“配置错误的” SPF记录和修复程序“阻止所有其他域发送有关我的域的电子邮件”。我确定您知道这不是SPF记录的工作方式。这个“黑客”发现了容易的“漏洞”,使OP误以为他们有值得付出的东西。我会将此垃圾邮件归类为“黑客”,而我却说“您的域SEO尚未优化!”

– Booga Roo
20/09/10'2:42
这是可能的,但是对于我给的两个示例,他们都是使用他们自己名称的真实人,并且对此进行了一点背景检查(LinkedIn,HackerOne,来自同一电子邮件地址的实际错误报告等)。因此,我认为他们有良好的意愿,但观点有点狭窄,缺乏技能。毕竟,互联网似乎还没有使我变得完全愤世嫉俗。

– Esa Jokinen
20 Sep 10'6:03
我实际上也有类似的经历。 Guy似乎是真实的,但无论如何,他的报告还是我们下一轮自动安全扫描的结果。他最初要求给予奖励,但我提到我们没有漏洞赏金计划,也无权给予奖励。在此之后,他要求提供信誉,这是我们网站上臭名昭著的发现。我尝试不侮辱他,因为大多数赏金计划明确禁止自动扫描(包括服务器负载过大和输出的一般性质)。我将他重定向到实际的漏洞赏金计划,他似乎很高兴。

–贾罗德·克里斯特曼(Jarrod Christman)
20 Sep 10 '19:34


关键是,有时只是人们从安全领域起步,只是对这些漏洞什么时候不太了解,或者如果是的话,我所做的只是模仿自动化工具的输出。这并不意味着他们在敲诈勒索,而只是对侧边小路的不善尝试。

–贾罗德·克里斯特曼(Jarrod Christman)
20/09/10 '19:38
HTTPS很好地解决了直接机密性问题。但是,这不是HTTP基本身份验证的唯一问题:在不更改密码的情况下也无法使会话无效。

– Esa Jokinen
20-10-1在14:13

#3 楼

发现安全漏洞的人因发现而获得赏金并不罕见。许多著名的开源项目和网站都制定了以赏金形式负责任地披露漏洞的政策。我不知道在没有预先设置某种赏金计划的情况下公司支付赏金有多普遍。在我的情况下,它是这样工作的:

我通过他们偏爱的报告方法向开发团队报告了该漏洞,包括以下事实:如果该漏洞有资格获得赏金,我会很感兴趣(他们有一个公共漏洞赏金计划)。
当团队发现并修补该问题时,我对漏洞的机密信息进行了保密。
发布补丁后,通知我我的报告确实有资格获得赏金,以及获得多少奖励。他们愿意付款。
此时,我可以公开讨论我的漏洞(尽管选择不这样做)。

这里的关键点是:

该报告是在没有支付赎金的情况下才进行的,直到我得到付款为止。
直到供应商能够进行修复,该漏洞的详细信息才被公开。报告实际上不是安全漏洞,也不会给我报酬。
供应商决定了该漏洞的价值。他们的网站上确实有一个公开表,其中列出了“类型X的漏洞将最多支付$ Y的报酬”。最典型。
在您的情况下,我会:

坚持以负责任的方式披露漏洞。即直接给您,而您的“黑客”没有任何形式的公开或半公开披露。您想在其他所有人之前意识到这一点,这就是您要付出的事情之一。如果您的黑客公开发布此消息,或与他的同伴谈论此事,那就没什么了。
坚持要让漏洞的详细信息由安全专家验证。假设您说的是一场单人秀,并且在安全方面没有很多专业知识,那可能意味着要雇用合同上的人来协助您。
如果您的专家同意这是一个安全问题,他们将能够您对它的严重性有所了解,然后您可以决定它的价值。

您应该支付多少?随你(由你决定。在我的情况下,供应商将错误评为“严重”,然后对其进行了修补。它可能导致严重的妥协,但很难做到。我的工作报酬不到$ 5k,这已经接近他们网站所引用范围的上限。
此外,如果他们只是在告诉您一个已知的安全漏洞,则排在第三位派对软件,可能价值不高。例如如果您运行的是旧版本的WordPress,并且该错误是一个已知的WordPress漏洞。

这是勒索吗?赏金支付。是。这些程序通常不是这样工作的,一个适当的道德黑客就知道这一点。 />
一个适当的道德黑客并不想造成破坏。如果您不付款,他们也不会将漏洞出售给其他人。但这是假定您正在与合法的道德黑客打交道,而不是一些试图制造麻烦或制造麻烦的麻烦制造者。恶意意图?

在获得赏金之后,我进行了数学运算,并发现自己有可能以赚取赏金为生。有可能的。谁知道那是否是您的家伙要做什么。尝试从没有正式赏金计划的公司那里收取赏金是一个相当冒险的方法,但这对您的家伙恕我直言。

评论

我不同意,公开披露与主动披露之间有明显的区别。强迫某人内,为您提供未经请求的服务而赚钱可能不是违法的,但我认为这是不道德的。如果您帮助没有提出要求的人,那很好,但是不应期望得到回报(甚至更不用紧地要求获得回报)。

– Leherenn
20 Sep 10'8:12
您可能使用了公司现有的赏金计划来获得报酬。如果您正确记录了事情,您可以起诉他们并赢得胜利。当试图从没有赏金计划的组织获得赏金时,您必须在告诉他们该漏洞是什么之后让他们付钱。

– Alex Cannon
20/09/11'4:34
@Leherenn:您似乎相信每个人都为某大公司工作,不管他们的成功是多少,他们都会得到报酬。事实并非如此。拥有自己公司的人可能会自行进行规范工作。他们从来没有因为花费在进行分析上而导致没有漏洞的时间而获得报酬,所以他们必须为自己的成功付出报酬。没有合同的分析系统是完全可以接受的;在这种模式下,分析师承担了所有风险,这几乎是不道德的。

–总统James K. Polk
20/09/30在15:19
@ PresidentJamesK.Polk完全没有,只是在期望付款时我不认为这是可以接受的。就像有人不请自来地清洗窗户,然后在您家门口响了,要求付款。我认为这很不礼貌。如果您想做一些志愿者工作并使互联网更美好,那就太好了,谢谢。如果您需要金钱,请坚持承包工作。

– Leherenn
20-10-2在16:23
@ PresidentJamesK.Polk为此存在Bug赏金计划。没有此要求的公司/网站没有义务付款-实际上,他们有权向联邦调查局报告您对网站的攻击,因为这是没有要求的。如果您想以免费承包商的身份赚钱,请坚持提供这些合同的公司。

– Yuu
20-11-28在0:11

#4 楼

是的,那是勒索。
要做的事是私下通知您。也许有一段时间以后如果没有回应最终会公开的披露政策。但是无论如何仍要转发问题详细信息。
考虑雇用安全人员(而不是“黑客”)来评估您的系统。无论采用哪种形式,都可以一次性进行安全评估,提供赏金,或者迁移到托管平台以将操作外包给其他人。

评论

OP在注释中添加了说明,该电子邮件包含漏洞的详细信息以及如何修复漏洞的说明。因此,他们已经私下通知了OP。漏洞也相当小。所以我认为这改变了问题的性质而不是勒索

– Fred Stark
20 Sep 9'23:44


#5 楼

@GlennWillen的评论引起了人们的关注:

即使“漏洞”是真实的,您也不应认为它们是有用的,除非您自己了解上下文。例如,
是否有通过将您的网站嵌入到iframe中而造成损害的实际方法?我一直在收到这些垃圾邮件“漏洞”的电子邮件,但是有问题的
站点是一个静态营销页面,没有用户登录功能,因此无法进行点击劫持
攻击它。这些人只是针对您的网站运行“漏洞扫描程序”,然后要求您付款。他们实际上并不了解这些工具的输出。很可能是黑客没有花费大量时间或精力专门检查OP的网站。
因此,为了避免被标记为更具体的目标,OP不应回复电子邮件。真正的安全专家会遇到这些问题,但不要与这个“黑客”打交道。

#6 楼

作为从事信息安全工作并收到大量此类报告的人,有几点评论:

如果猎人付款是揭示您应该通过的漏洞的条件。这可能是错误的报告,也可能是来自非专业人士的报告(因此,该报告的价值为零或低)。
如果猎人为您提供了部分证据并索要钱款(例如,他们表明他们访问了比应有的数据更多的数据),这就是勒索。这里的主要问题是,您不太可能知道如何解决该问题(甚至根本不知道这是否是一个问题)。因此,仅为发现付出代价可能不会给您带来太多收益。 OTOH如果您知道可以解决问题的人,那么在通过“可以解决问题的人”解决了您所拥有的一切后,可能只是一枪而已。
如果他们为您提供了一切,那么您可能仍需要有人来解决它。如果您做一个手势会很好(即使是以赃物的形式-这是某种礼物,也要取决于很多因素)。

您可能还会觉得自己不在乎关于安全性-假设您已意识到后果,这很好。由于您经营的是基于Internet的业务,因此我认为这不是一种选择。
您可以考虑将您的业务迁移到SaaS解决方案,如果这是可以想象的,并且让其他人担心这种事情(包括安全性)。

#7 楼

错误赏金以相反的方式起作用!
它们如何工作:

服务提供商或软件供应商事先宣布了“错误赏金计划”。
一个或多或少的道德黑客发现一个错误。他们使用漏洞赏金计划中宣布的沟通方式来报告漏洞。他们还可以将其共享给一些知名的安全相关媒体或专家,他们承诺将保持沉默。
该漏洞由受影响的各方评估。他们决定支付(或不支付)赏金,并与黑客联系以了解详细信息。 (他们最终也确实会修复该错误。)

如果他们没有及时采取适当的措施,黑客,其他安全专家或相关媒体可能会公开披露该错误,错误赏金计划和/或其他详细信息失败。

评论

这不是漏洞赏金。这是负责任的披露。两者都是有用的。

– WoJ
20年9月9日,12:48
错误赏金意味着负责任的披露。否则就毫无价值。无论如何,第1点是最重要的。如果有人暗示没有赏金的错误赏金,则称为“勒索”。

–fraxinus
20 Sep 9 '13:52
有组织的Bug搜寻事件(临时或连续)= Bug赏金。漏洞赏金是指在(好的)漏洞中赚钱。然后,有些公司有一个“负责任的披露”页面,其中指出了发现问题时应与谁联系。与金钱无关,只有流程和联系。没错,漏洞赏金意味着信息将“负责任地”共享。

– WoJ
20 Sep 9 '13:57

#8 楼

提供的信息说明一切吗?可以验证吗?如果第一个条件是正确的,我可能会立即做出回应,说我正在对所提供的信息进行尽职调查。您想支持这些关系吗?我希望知道一个人的预期付款方式和业务实体,以及与业务规范有关的其他详细信息。我会在答复中要求所有这些信息。如果发现他们从事犯罪活动,则需要将所有收集到的信息提供给当局(FBI?)。
否则,您可能会得到更好的服务,节省的资源和良好的价值。请记住,任何人都可以随时更改行为和业务关系。建立信任并明确列出卡片很有帮助。不要以为无论呈现方式是什么,他们都会向您勒索。它有助于保持职业素养,清晰和正直,使每个人都可以保持自己的尊严。希望这能为您提供实质性的背景和对比,并在您遇到的情况中有用。

#9 楼

是的,这是敲诈。允许进行测试。
存在漏洞赏金计划是有原因的-为黑客提供了一种途径来查找漏洞并为此赚钱。未经许可进行测试,或者没有基于特定条件自动授予许可的漏洞赏金计划(例如所谓的“道德黑客”所做的事情),可以向警方举报,因为这是网络犯罪-与恶意黑客没有什么不同。
我意识到我的回答有点迟了,您可能已经付款了,但是将来阅读此书的任何人绝对不应该为这些自称为“道德黑客”的人付款。 “漏洞”本身:它们都不是真正的漏洞!
它们充其量只是安全最佳实践。我曾经管理过一个漏洞赏金计划,这些报告(SPF记录允许欺骗,Clickjacking)只是浪费时间。如果您对它们进行简单的Google搜索,就会发现任何公司运行的绝大多数漏洞赏金计划都会自动将这些报告放入垃圾箱,甚至可能将这些报告员列入黑名单。这是因为这些“漏洞”没有真正的影响。因此,记者不仅仅是敲诈者。他也是夸大影响的骗子!

我相信他。凭据是指其道德黑客活动的真实证据,例如拥有多个CVE或参加了具有良好记录的安全黑客竞赛(CTF),参加过任何技术会议或只是被列入名单在任何错误赏金计划等中至少有一个名人堂。
绝对不是一个没有漏洞赏金计划就从一个小站点索要钱的随便家伙。

评论

已投票。很少(而且确实令人耳目一新)看到一个新用户发布一个真正有见地的答案。

–马西莫
20-11-28在0:25

#10 楼

我发现这很可能是垃圾邮件,这意味着正确的响应是没有响应。
有人得到了小型企业的清单,并向所有人发送这样的电子邮件。在数以百万计的目标中,有少数人会咬人并向他们汇款。
除了损失这笔钱之外,受害者现在还在易受骗的人名单上,这些人将成为进一步诈骗的目标,涉及更多的个人关注来自骗子和更多的钱。
不要最终落入易受骗的人名单中。确保备份不可入侵,只需将其放在未插入的磁盘上即可。
更改密码。不要为不同的服务使用相同的密码。
制定计划以定期备份数据。

评论

我作为这些接收者的经验:我认为它们通常并不像您建议的那样真正庞大。但是,它们通常似乎是对我们的网站运行“安全分析”工具的结果,通常是由不了解如何解释输出的人(实际上没有实际用途)导致的。

– Glenn Willen
20 Sep 9 '18 at 18:32

#11 楼

首先,您能否从该信息中复制出一个实际的漏洞?
其次,提供的解决方案是否能真正解决该漏洞?
如果两者都是,那么您可能会觉得这很有用,并为此悬赏,但您没有义务。
即使没有提供所有必要的信息,在没有广告的情况下索要赏金也不是好生意。
如果此“黑客”正在与您联系并要求提供赏金而没有给您提供您自己复制该漏洞所需的所有详细信息的信息,那就是勒索,如果该漏洞是假的,则可能是一个骗局。

#12 楼

听起来更像是通用注脚,就像是赏金计划的网络钓鱼?听起来好像他没有直接在电子邮件的正文中引用它,感觉就像是大量扫描的结果,可能是因为它不针对开发的应用程序而未能成功。我认为没有人愿意为在安全扫描/ PEN测试中轻易发现的东西付费,但是不应弱化该漏洞。
如果这提供了真正的价值,那么通过某种形式的馈给或奖励来认可他们就不会有任何危害。 ,但我也没有义务,最初的参与本该减少垃圾邮件/威胁。它是否击中了多个域管理员地址(网站管理员,管理员,邮件管理员等),还是直接寻求通信?看起来会更好吗?英语可能不是他们的主要语言,直接翻译时,外国语言会突然变得很突然,但这都是猜测,却看不到它的组成。

#13 楼

有道德的黑客,然后是“道德的”黑客。将它们误认为另一个可能是不正确的,有时甚至是危险的。检查hackerone.com之类的黑客社区和平台,您就能分辨出两者之间的区别。因此,如果他们可以找到10个错误,就会向您报告所有错误。
然后,这些人会大规模扫描多个网站以查找众所周知的和容易找到的错误,例如披露Nginx版本的Web服务器,这很容易通过在Nginx配置中设置server_tokens off;进行修复。这些类型的黑客也有悬念,首先要诱饵一些错误,检查受害者的脉搏,然后再捕食。找到所有其他漏洞并将其修复在一起,或者说,永远不要让黑客/陌生人在这次谈判中占上风。祝你好运。

#14 楼

正如其他人所说,这可能是一种部分自动化的漏洞扫描,您需要为他们付费以修复一些本应已修复的过时软件。提供某种方式来证明确实存在可以用来造成危害的漏洞。授予他们在您的网站上进行能力证明测试的权限,他们可以在其中访问或窃取某些信息,而不会实际使用它来造成伤害。如果他们能够做到,那么您就可以开始谈生意了。
您可能需要安排某种第三方托管,因为你们俩都没有足够的信任另一方来跟进您的交易首先。

#15 楼

这就是我们所说的“灰色帽子”黑客行为。这是白帽和黑帽意图的混合物。灰色帽子通常会报告网站的易受攻击性,但并非出于善意。他们通常会告诉您支付赏金,他们会为您解决。它们可能是骗局,但大多数人会告诉您这是什么或证明您具有合法性的东西。他们通常是不请自来的。