Je suis étudiant à mon école locale.
Il y a environ huit mois, je trébubli sur un trou de sécurité qui pourrait permettre tout utilisateur à découvrir tout ID de l'élève dans tout le district, et je suis Conscient que le service informatique a tendance à garder les identifiants d'étudiants aussi confidentiels que possible que l'ID est le seul identifiant unique à un étudiant.
Quand j'ai trouvé le problème à l'origine, j'ai été suggéré par mon professeur de sciences informatiques de passer bas et de ne pas le signaler à personne. Cependant, huit mois ont été adoptés, le service informatique n'a rien fait pour résoudre ce problème.
J'ai enfin construit le courage pour divulguer de manière responsable le problème de sécurité à la gestion. La raison pour laquelle j'ai craint que les déclarations est que je dois marcher très attentivement, car une mauvaise étape pourrait m'arriver dans des eaux chaudes et éventuellement suspendue pour "piratage". Et à ce stade, je n'ai aucune idée de qui d'autre a trouvé cet exploit autre que moi.
Encore une fois, je ne cherchais pas activement de trous de sécurité; Plutôt, j'ai simplement trébuché sur un.
Quel est le meilleur plan d'action à adopter de manière responsable la question de la sécurité tout en minimisant le risque d'être puni pour cela?
J'ai de nombreuses années d'expérience dans un collège ICT Équipe. C'est ce que je recommanderais de mon expérience.
Je n'irais pas en direction de la direction, ils ne s'en soucieront pas ou un responsable non technique réagira de manière excessive et adoptera la question en tant que mission personnelle. De plus, si vous craignez d'être accusé d'avoir "piratage", il est une gestion non technique qui sont les plus susceptibles de le faire.
Je vous recommanderais de documenter la faille de sécurité et de le soumettre au ICT Service Desk.
Si vous n'avez pas accès au bureau de service en tant qu'étudiant, envoyez-les directement ou simplement à vous chapitre la porte du bureau et à leur expliquer la situation. Ils vous conseilleront sur la manière de procéder. (Câper de la porte est probablement la meilleure option) qu'ils vont probablement élever un ticket pour un technicien pour examiner le problème, il passera dans les procédures d'escalade à partir de là.
Ne vous inquiétez pas de ce problème avec eux, même si cela se révèle être rien, la plupart des équipes seront satisfaites pour les rapports proactifs de ce type de défauts. D'après l'expérience, je peux dire que la plupart des académisciaires soient-ils soutenus par le personnel ou le personnel académique ne soulever que des défauts avec ICT quand il les affecte personnellement.
J'ai découvert des fautes dans le passé, uniquement pour un membre du personnel de me dire que la faute en question a été là depuis des mois. Ma réponse a toujours été la même chose ", pourquoi n'avez-vous pas soulevé de billet avec ICT pour le réparer?"
Ne soulevez pas la question en tant qu'étudiant. Vos préoccupations sont valables: les écoles perçoivent généralement les étudiants en tant qu'enfants dont les actions sont inutiles au mieux et malveillantes au pire. Dans le meilleur des cas, vous serez ignoré dans le pire des cas, ils tireront le messager et vous discipliner le piratage. Ils pourraient même vous blâmer pour tout abus non résolu d'identifiants d'étudiants dans le passé.
Je vous recommanderais de soulever le problème à travers vos parents. La gestion de l'école est généralement beaucoup plus coopérative lorsqu'elle est approchée par des adultes. Un "corrige le problème ou je parle à la presse" Kicker fonctionne souvent assez bien.
Trouvez un avocat pour la divulguer pour vous. Ils sont tenus de garder votre identité confidentielle. Peut-être que vous pouvez trouver un prêt à le faire gratuitement. Ou peut-être que vos parents connaissent-ils un.
Je suis d'accord avec thejulyplot que des problèmes de sécurité doivent être apportés à l'équipe IRT/CSIRT/SOC/CERT responsable de la sécurité du site Web. Une petite école pourrait ne pas avoir de position dédiée, tandis qu'une niversité le plus certainement.
L'objectif est que ces personnes soient toutes deux (a) techniquement compétentes pour comprendre ce que vous rapportez et (b) conscients que vous êtes les aider , tandis que Être capable de l'acheminer à un destinataire plus précis si nécessaire (par exemple, la faute peut être corrigée par une équipe de développement distincte).
Si vous ne savez pas quel est l'équipe qui manipule les problèmes de sécurité sur votre institution ou sur la manière de les contacter, vous pouvez monter un niveau: contactez le certificat national ou -Pour une université - un certificat pour le réseau de recherche qu'il appartient.
Par exemple, en fonction de l'endroit où vous (et l'entité) sont basés sur, vous pouvez notifier aux États-Unis le S-CERT , sur le Royaume-Uni Janet CSIRT , en Espagne - Incibe-Cert , sur Kazakhstan le KazaCad CSIRT ...
Il n'y a pas de guide complet d'équipes, mais vous pouvez généralement rechercher le CSIRT le plus pertinent pour votre cas [~ # ~ # ~ ~] ou -Pour des certificats européens- Introducteur de confiance .
Veuillez noter que chacun aura sa propre circonscription. Un certificat national pour votre pays peut gérer le rapport le redirige à l'université si nécessaire, mais le CSIRT pour une entreprise privée entièrement indépendante pourrait l'écarter.
Sur (presque?) Tous les cas, il est possible d'envoyer un rapport de l'incident par courrier électronique (si vous ne trouvez pas un indiqué, recherchez leur section RFC 2350). Ce qui signifie, pour un niveau de base d'anonymat, vous pouvez simplement créer un nouveau compte FreeMail et utiliser cela pour envoyer votre rapport d'incident. En fait, vous pouvez même ignorer la création d'un nouveau courrier électronique et envoyer de votre adresse e-mail habituelle (vous pouvez également mentionner sur le rapport que vous préférez ne pas rester anonyme). Si vous n'avez pas commis de crime, il est peu probable que quiconque s'en fiche de qui vous êtes vraiment. Plutôt que d'envoyer et d'oublier ", je vous recommande de vérifier cet email (demandez-leur une mise à jour si nécessaire). Vous pouvez simplement être remercié et sachez qu'ils le géreront désormais, mais ils pourraient également vous demander plus d'informations de votre part, ou vous demander de l'envoyer à une autre équipe.
Je vous recommande également de le signaler dès que vous pouvez après la découverte afin de minimiser le potentiel de retour. Les personnes égarées pourraient supposer que tout ce que vous avez découvert, vous aurez maltraité et êtes un pirate pirate diabolique, peu importe la façon dont cela pourrait être idiot à la vulnérabilité réelle. Cependant, en prenant des mesures promptement pour que cela fixe (et ne pas l'avoir abusé!). Il y a probablement des journaux qui pourraient être vérifiés. S'ils découvrent que vous avez testé la vulnérabilité (même si cela leur prend des mois pour trouver eux-mêmes), que vous l'avez fait il y a 1 heure avant de recevoir un rapport de courrier électronique peint une image assez différente que de réaliser que vous l'avez découvert il y a 6 mois . Même si votre communication pour une raison quelconque ne les a pas atteintes (supposons par exemple que leur boîte aux lettres d'abus était pleine!), L'enregistrement lui-même sur le fournisseur de messagerie (c.-à-d. Le courrier envoyé) La divulgation de la vulnérabilité est utile, si vous en avez besoin. .