web-dev-qa-db-fra.com

Mon ancien travail a des exploits de sécurité massifs dans leur produit, mais ils s'en moquent

Une entreprise pour laquelle je travaillais a développé un système de point de vente qui a également une partie de commerce électronique. En travaillant là-bas, j'ai découvert des failles massives avec leur modèle de sécurité.

Autrement dit, il n'y a aucune validation côté serveur. Tout utilisateur, connecté ou non, peut faire des choses comme modifier les prix, les fausses transactions, jouer avec les feuilles de temps, etc., tout cela depuis le confort de sa maison.

Je l'ai signalé plusieurs fois verbalement, mais il a été ignoré comme n'étant pas une priorité.

Depuis, ils ont élargi leur clientèle et desservent maintenant plusieurs clients. J'ai vérifié que les exploits fonctionnent toujours comme il y a plusieurs années.

Je n'ai aucun intérêt à sauver la face pour cette entreprise, ils m'ont traité, moi et beaucoup d'autres, très mal et abusivement, forçant des heures supplémentaires sans salaire et des transgressions similaires.

Quelle est la meilleure façon de signaler ce problème de sécurité? Dois-je envoyer un e-mail à leurs clients? Ou dois-je divulguer publiquement l'attaque et laisser Internet la gérer?

edit: Je voudrais ajouter que les exploits ne sont pas compliqués ou obscurs, quiconque ouvre devtools dans son navigateur serait en mesure de comprendre qu'ils peuvent simplement éditer les données à la volée

modifier 2: Après avoir lu toutes ces réponses, j'enverrai à l'entreprise un e-mail anonyme avec un POC. Je vais également leur accorder un délai de 60 jours pour résoudre le problème avant de le signaler à leurs clients.

21
ItsNotMe

Un petit mot de prudence

Vous semblez très investi pour essayer de faire quelque chose. Si je peux être franc, il semble que vous soyez au moins partiellement motivé par vos frustrations quant à la façon dont l'entreprise vous a traité en tant qu'employé. Cela peut être compréhensible, mais ne conduit pas nécessairement à de bonnes décisions. En particulier, une option que vous mentionnez (contacter les clients et les informer des problèmes) est le genre de chose qui, à juste titre ou non, et quelle que soit la manière dont cela pourrait se terminer, peut entraîner des poursuites judiciaires intentées contre vous par votre ancien employeur. Avancez donc légèrement. Tout bien considéré, c'est probablement une très mauvaise idée.

Comprendre la perspective commerciale (imparfaite)

Malheureusement, la situation que vous décrivez n'est pas rare dans l'industrie du logiciel. Du point de vue de nombreuses entreprises, évoquer les problèmes de sécurité leur demande de dépenser de l'argent réel (en termes de salaires des développeurs) pour résoudre un problème qu'ils ne peuvent pas voir pour un avantage qui pourrait ne pas être nécessaire pendant longtemps (cela peut en fait un moment avant que quelqu'un essaie de les pirater). C'est un avantage caché avec un coût initial, et c'est quelque chose que la réflexion à courte vue peut facilement ignorer pendant longtemps. Après tout, de leur point de vue, les choses pour lesquelles vous faites une grosse affaire n'ont jamais réellement causé de problèmes, mais il faudra certainement beaucoup de temps et d'efforts pour les résoudre, alors pourquoi devrait ils le réparent? (Je ne dis pas qu'ils ont raison, j'explique simplement le processus de réflexion).

Il est important de comprendre que c'est évidemment l'approche que votre ex-employeur adopte. Vous les avez informés du problème et ils ont décidé de l'ignorer. Il n'y a aucune raison de penser que toute action (juridique) que vous pouvez entreprendre en tant qu'étranger va changer cela, d'autant plus que vous n'avez apporté aucune modification en tant qu'initié. Bien sûr, nous savons qu'avec de mauvaises pratiques de sécurité, une personne qui trouve et exploite une faiblesse est inévitable, surtout si elle commence à voir de vrais succès (c.-à-d. Avoir une large base de clients). Tant qu'aucun de leurs clients ne prend le temps de se pencher proactivement sur les problèmes de sécurité potentiels (et la plupart ne le font pas, car ils n'en savent pas assez pour bien regarder, même s'ils s'en soucient), des situations comme celle-ci peuvent durer de manière surprenante. longtemps avant qu'il ne cause de vrais problèmes. Dans le pire des cas, cela conduit à des situations telles que la violation de sécurité d'Equifax . Pour les petites entreprises cela peut entraîner une faillite complète .

Réalité

Alors, qu'en faites-vous? Si la direction est au courant du problème mais refuse de changer, il n'y a probablement rien que vous puissiez faire pour la forcer à changer. Vous pouvez essayer des choses que vous avez mentionnées, comme signaler cela à leurs clients, mais ces derniers peuvent ne pas vous prendre au sérieux. Pour tout ce qu'ils savent, vous êtes simplement un ancien employé mécontent qui essaie de causer des ennuis à votre ancien employeur. S'ils n'en savaient pas assez pour se pencher sur ces choses avant de commencer à utiliser la plate-forme, il n'y a aucune raison de penser qu'ils en savent assez pour prendre vos réclamations au sérieux maintenant. Il est plus probable qu'improbable que vous finirez par être ignoré ou poursuivi.

(selon la réponse de @ forest) Vous devez certainement soumettre une CVE. Vous pouvez également essayer de soumettre des bogues via un programme tiers de prime aux bogues. Il y en a qui ont surgi ces dernières années et existent pour essayer d'agir comme un arbitre neutre entre les "chercheurs indépendants en sécurité" (alias vous) et les sites qui autrement n'ont pas de programmes de rapport de bogues (alias votre ancien employeur). Bien sûr, ces programmes ne fonctionnent que si l'entreprise que vous signalez les bugs à écouter. Vous savez déjà que votre ancien employeur ne le fera pas. Cependant, avoir publié et ignoré des vulnérabilités via des canaux standard aidera leurs clients à long terme lorsqu'ils seront piratés. Cela changera la situation de la simple incompétence à la négligence pure et simple, qui s'accompagne de sanctions financières beaucoup plus sévères devant les tribunaux civils (FYI: IANAL).

Toutes les autres options (légales) varieront en fonction de votre juridiction.Alias ​​en Europe, vous pouvez trouver des instances pour une action en justice via le RGPD. Dans de nombreux endroits, cependant, vous n'avez probablement aucune option pouvant leur causer immédiatement des problèmes juridiques. Cela ne se produira probablement pas tant qu'ils ne seront pas piratés et que leurs clients ne poursuivront. La publication d'une CVE aidera leurs clients lorsque cela se produira. En attendant, on dirait que vous songez à publier quelque chose publiquement "sur Internet". Quel serait votre objectif là-bas? De façon réaliste, vos tentatives pour le faire seront probablement ignorées par Internet. Cependant, il est possible qu'ils finissent par être piratés beaucoup plus tôt. Sans passer par des canaux plus standard, vous augmentez probablement considérablement votre propre risque de répercussions juridiques. Par conséquent, je garderais personnellement les chaînes officielles.

Encore une fois, je vous ai peut-être mal lu, mais je pense que votre question vient en grande partie de la position de quelqu'un qui est en colère contre un ancien employeur et qui, dans une certaine mesure, cherche à causer des problèmes. C'est un bon moyen d'avoir des ennuis juridiques ou du moins de vous faire une mauvaise réputation lorsque vous essayez de trouver un emploi à l'avenir. Je pense que vous devriez essayer d'arrêter de regarder cela du point de vue d'un ancien employé et de vous concentrer davantage sur le point de vue d'un chercheur neutre en sécurité.

22
Conor Mancone

Demandez une CVE!

Si vous vous souciez de la prévention de violations potentiellement massives, vous devez absolument divulguer le problème d'une manière ou d'une autre. Si vous ne pouvez pas le faire en contactant les développeurs de l'application vulnérable, vous devez demander une affectation CVE pour le problème. MITRE s'occupera du reste.

8
forest

Je viens de réaliser que vous avez dit votre "ancien travail". Ma réponse ci-dessous est toujours valable, mais cela dépend si vous avez toujours des contacts avec des responsables au sein de l'entreprise.

Si vous avez signalé le problème verbalement et qu'il a été ignoré, essayez de signaler le problème par écrit, ce qui pourrait aggraver le problème et copier des personnes plus haut dans la chaîne. Vous devrez peut-être parler de gestion-parler, fournissant des risques, des coûts et des avantages aux correctifs de sécurité. Expliquez pourquoi cela devrait être une priorité par rapport aux autres éléments. Offrez de faire une démonstration à la direction pour montrer à quel point les exploits sont faciles et faites remarquer que dès que quelqu'un la trouve, la réputation de l'entreprise est fortement endommagée.

Vous pouvez peut-être trouver un moyen de vendre l'idée que votre entreprise engage un auditeur de sécurité pour détecter les vulnérabilités. Là où votre direction pourrait répondre à vos problèmes de sécurité comme "Oh, Bob ne flippe plus pour rien", elle peut prendre un auditeur plus au sérieux. Dans certaines juridictions, je suis sûr qu'il existe des exigences légales auxquelles une entreprise doit satisfaire pour gérer les données personnelles, vous pourriez être en mesure de vendre la gestion de l'idée si vous leur dites que vous n'êtes pas sûr d'être en conformité et l'audit doit être effectué avant qu'un client ne poursuive. Obligatoire "Je ne suis pas avocat".

Si cela ne fonctionne pas, je ne peux pas dire que je recommande d'envoyer des courriels aux clients ou de divulguer publiquement les vulnérabilités à moins que vous ne parliez d'abord à un avocat et que l'avocat ne vous dise que vous êtes clair. Une entreprise comme vous décrivez ne verrait probablement pas la situation comme "Oh, maintenant nous devons résoudre ce problème", mais plutôt "Un employé mécontent essaie de détruire notre entreprise, nous devons riposter."

Choses que vous pouvez faire de l'extérieur de l'entreprise:

Après avoir lu que vous ne travaillez plus dans cette entreprise, j'ai eu une autre idée: il peut être possible de se présenter anonymement en tant qu'acheteur intéressé du produit de votre entreprise et de poser des questions indiquant que vous êtes très intéressé à vous assurer que vos données sont sécurisées. Demandez-leur s'ils font des audits de sécurité, s'ils ont des certifications de sécurité, quels règlements ils suivent, des choses comme ça. Espérons que quelqu'un dans le marketing ne se contentera pas de trouver des réponses génériques et se renseignera auprès d'un développeur ou d'une personne en charge de quelque chose. Peut-être que "perdre une vente" en raison de leurs pratiques de sécurité louches poussera la priorité plus haut pour eux.

3
Tophandour

Puisque vous ne divulguez pas de lieu, je vous suggère de contacter les forces de l'ordre, car l'entreprise peut être en violation de plusieurs lois - d'autant plus qu'elles opèrent avec des transactions financières. Habituellement, la branche d'application de la loi que vous avez contactée vous informera ensuite de la personne à contacter à la place, qui peut être une branche différente de l'application des lois, une organisation de protection des consommateurs ou personne du tout.

Divulguer le problème de sécurité au public ou à ses clients, ou menacer de le faire - avec vos antécédents comme celui d'un employé mécontent - est une autre façon d'impliquer les forces de l'ordre. Celui que vous voulez éviter.

0
Peter