web-dev-qa-db-fra.com

Comment traiter avec une entreprise qui ne corrige pas les failles de sécurité (potentielles) dans son application Web?

Il y a environ 2 semaines, je suis tombé sur une application Web qui peut être utilisée par les gymnases pour gérer les informations sur leurs membres. Cela inclut des données telles que le nom, l'adresse de facturation, la date de naissance et les antécédents médicaux. Le gymnase que je visite (en Europe) utilise également cette application et j'ai donc examiné de plus près l'application. Je n'ai pas creusé très profondément pour éviter les problèmes juridiques, mais ce sont quelques-uns des "problèmes" que j'ai trouvés:

  • La connexion permet des essais infinis
  • La réponse JSON du backend comprend des informations indiquant si le nom d'utilisateur ou le mot de passe était incorrect
  • Le mot de passe utilisateur est stocké dans le stockage local en texte brut
  • Il y a un téléchargement illimité de fichiers pour les photos de profil
  • Une ancienne version PHP version est utilisée
  • Il existe plusieurs backends qui génèrent des exceptions (de cette façon, je pourrais savoir quel PHP framework qu'ils utilisent)
  • Les identifiants de session peuvent être remplacés (fixation de session)
  • Il semble qu'il n'y ait pas de validation d'entrée. Ils utilisent React, donc XSS n'est pas aussi simple mais toujours possible

Tout cela ne me semble pas super critique, à moins que quelqu'un ne prenne vraiment son temps et n'essaie d'exploiter ces vulnérabilités potentielles. D'après ce que je peux dire, il y a au moins 20 000 clients stockés dans leur base de données. Il semble également que toutes les données client soient stockées dans une grande table pour tous les différents gymnases qui utilisent cette application.

Le type de données stockées sur les clients semble être très personnel et ne devrait pas être entre de mauvaises mains, je suppose. J'ai donc contacté cette entreprise de manière anonyme et leur ai fait part de mes préoccupations. Ils m'ont répondu il y a quelques jours et ont dit qu'ils avaient tout corrigé - cependant je l'ai vérifié et fondamentalement rien n'a changé dans cette application web (toujours les mêmes vulnérabilités).

Voici donc ma question: Comment dois-je procéder? Dois-je leur donner une seconde chance ou contacter une sorte d'autorité de protection des données? Et considéreriez-vous ces problèmes/vulnérabilités comme critiques? (comme je l'ai déjà dit: je n'ai pas creusé trop profondément, mais même avec mes connaissances limitées en matière de sécurité, je pense que je pourrais obtenir la plupart des données utilisateur en quelques jours)

18
Moritz W.

Dois-je leur donner une deuxième chance

Oui. Il est typique d'attendre plusieurs mois et de communiquer plusieurs fois avec la société en développement avant de prendre toute autre mesure.

Si l'entreprise a montré qu'elle n'est pas disposée à résoudre le problème, une prochaine étape possible consiste à divulguer publiquement le problème .

ou contacter une sorte d'autorité de protection des données?

C'est une bonne idée. Je n'ai pas d'expérience avec cela, mais vous pouvez au moins informer une telle autorité de ce que vous avez trouvé et discuter des prochaines étapes avec l'entreprise.

Et considéreriez-vous ces problèmes/vulnérabilités comme critiques?

Non, mais cela montre qu'ils n'ont rien fait pour sécuriser leurs systèmes, il est donc probable qu'il existe des vulnérabilités plus graves.

12
Sjoerd

Bien que ceux-ci ne soient pas super-critiques, je choisirais personnellement un divulgation responsable .

En un mot, cela signifie que vous les informez des vulnérabilités et que vous leur dites également que vous les publierez après x jours - indépendamment du fait de les corriger ou ne pas.

Google a une politique de divulgation de 90 jours , ce qui semble assez standard de nos jours.

L'idée est que:

  • Vous donnez à l'entreprise un délai raisonnable pour réparer les choses
  • Vous les rendez également responsables et mettez la pression pour une solution opportune

Vous devriez évidemment essayer de contacter directement leurs agents de sécurité (s'ils en ont) et de les aider si possible. Cependant, s'ils ne réagissent pas et ne se réparent pas à temps, rendez-vous public. Au lieu de cela ou en plus de la publication, vous pouvez contacter une autorité appropriée - surtout si vous n'obtenez aucune réaction.

Si cela se produit en Europe, ils enfreindraient le RGPD pour ne pas avoir correctement sécurisé les données personnelles et si vous contactez l'autorité de contrôle, ils emménageraient probablement avec des amendes et des questions désagréables.

Si vous souhaitez garder l'anonymat, vous pouvez également essayer de contacter un professionnel établi d'Infosec et voir s'il pourrait devenir public ou vous conseiller.

La publication (même par tweet) aura également pour effet secondaire que vous puissiez vous construire un nom.

Puis-je avoir des ennuis pour ça?

Bien sûr, les entreprises peuvent ne pas être satisfaites de la divulgation et peuvent essayer de riposter légalement contre les chercheurs ou les journalistes.

Si vous restez dans les limites de la loi, vous pouvez réussir à vous défendre contre ce type de poursuite, mais cela ne signifie pas qu'ils ne peuvent pas vous causer de problèmes majeurs.

En ce qui concerne la loi: ce qui est autorisé ou non peut être très différent dans différentes parties du monde; vous devez vérifier quelle est votre loi locale. La plupart des pays occidentaux autorisent la recherche sur la sécurité, mais ne vous permettent pas réellement d'accéder à des données confidentielles ou de perturber les systèmes (même pas comme preuve de concept).

Certaines options sont:

  • Restez anonyme lorsque vous publiez (même si vous devez ensuite savoir comment protéger votre identité)
  • Avertissez un journaliste. Ils vous protégeront en tant que source, mais rien ne garantit qu'ils sont intéressés par votre cas
  • Avertissez les autorités, mais rien ne garantit qu'elles donneront suite à l'affaire
  • Conseillez un chercheur (ou une équipe) qui le fait de manière professionnelle. Ils auront de l'expérience et un service juridique de leur côté
  • Restez avec les entreprises qui offrent un "refuge sûr" pour les chercheurs en sécurité en premier lieu.

Cela dit, la majorité des entreprises semblent apprécier les critiques de bonne foi et beaucoup donneront même des félicitations ou des primes publiques.

Remarque: Certaines sociétés offrent des primes mais en retour, vous souhaitez que vous conveniez de ne pas publier sans leur autorisation. Il n'est pas rare que les chercheurs refusent la prime plutôt que d'être liés par de telles conditions.

7
averell

Vous ne pouvez pas simplement effectuer un audit de sécurité sans qu'ils le demandent, car cela pourrait aussi bien être interprété comme une tentative de piratage (c'est autre chose que de le découvrir accidentellement). En comparant cela aux politiques de Google, c'est une comparaison extrêmement mauvaise, car Google offre des primes pour cela - ils le demandent littéralement - et ils en paient un pour identifier les vecteurs d'attaque possibles.

Si vous ne vous sentez pas à l'aise avec la façon dont ils traitent vos informations personnelles identifiables, annulez simplement votre adhésion et demandez le effacement , ce qui est votre droit en vertu du Règlement général sur la protection des données (RGPD). Dans ce cadre juridique, ils ont très probablement dû en nommer un DPO , un soi-disant "Data Protection Officer", chargé d'assurer le respect de la loi .

À moins de pouvoir parcourir leur base de données clients et de prendre des captures d'écran comme preuve, il vaut mieux investir votre temps dans quelque chose de significatif ... comme faire du jogging anonyme dans la forêt, gratuitement et pour des raisons de confidentialité.

0
Martin Zeitler