Il y a environ 2 semaines, je suis tombé sur une application Web qui peut être utilisée par les gymnases pour gérer les informations sur leurs membres. Cela inclut des données telles que le nom, l'adresse de facturation, la date de naissance et les antécédents médicaux. Le gymnase que je visite (en Europe) utilise également cette application et j'ai donc examiné de plus près l'application. Je n'ai pas creusé très profondément pour éviter les problèmes juridiques, mais ce sont quelques-uns des "problèmes" que j'ai trouvés:
Tout cela ne me semble pas super critique, à moins que quelqu'un ne prenne vraiment son temps et n'essaie d'exploiter ces vulnérabilités potentielles. D'après ce que je peux dire, il y a au moins 20 000 clients stockés dans leur base de données. Il semble également que toutes les données client soient stockées dans une grande table pour tous les différents gymnases qui utilisent cette application.
Le type de données stockées sur les clients semble être très personnel et ne devrait pas être entre de mauvaises mains, je suppose. J'ai donc contacté cette entreprise de manière anonyme et leur ai fait part de mes préoccupations. Ils m'ont répondu il y a quelques jours et ont dit qu'ils avaient tout corrigé - cependant je l'ai vérifié et fondamentalement rien n'a changé dans cette application web (toujours les mêmes vulnérabilités).
Voici donc ma question: Comment dois-je procéder? Dois-je leur donner une seconde chance ou contacter une sorte d'autorité de protection des données? Et considéreriez-vous ces problèmes/vulnérabilités comme critiques? (comme je l'ai déjà dit: je n'ai pas creusé trop profondément, mais même avec mes connaissances limitées en matière de sécurité, je pense que je pourrais obtenir la plupart des données utilisateur en quelques jours)
Dois-je leur donner une deuxième chance
Oui. Il est typique d'attendre plusieurs mois et de communiquer plusieurs fois avec la société en développement avant de prendre toute autre mesure.
Si l'entreprise a montré qu'elle n'est pas disposée à résoudre le problème, une prochaine étape possible consiste à divulguer publiquement le problème .
ou contacter une sorte d'autorité de protection des données?
C'est une bonne idée. Je n'ai pas d'expérience avec cela, mais vous pouvez au moins informer une telle autorité de ce que vous avez trouvé et discuter des prochaines étapes avec l'entreprise.
Et considéreriez-vous ces problèmes/vulnérabilités comme critiques?
Non, mais cela montre qu'ils n'ont rien fait pour sécuriser leurs systèmes, il est donc probable qu'il existe des vulnérabilités plus graves.
Bien que ceux-ci ne soient pas super-critiques, je choisirais personnellement un divulgation responsable .
En un mot, cela signifie que vous les informez des vulnérabilités et que vous leur dites également que vous les publierez après x jours - indépendamment du fait de les corriger ou ne pas.
Google a une politique de divulgation de 90 jours , ce qui semble assez standard de nos jours.
L'idée est que:
Vous devriez évidemment essayer de contacter directement leurs agents de sécurité (s'ils en ont) et de les aider si possible. Cependant, s'ils ne réagissent pas et ne se réparent pas à temps, rendez-vous public. Au lieu de cela ou en plus de la publication, vous pouvez contacter une autorité appropriée - surtout si vous n'obtenez aucune réaction.
Si cela se produit en Europe, ils enfreindraient le RGPD pour ne pas avoir correctement sécurisé les données personnelles et si vous contactez l'autorité de contrôle, ils emménageraient probablement avec des amendes et des questions désagréables.
Si vous souhaitez garder l'anonymat, vous pouvez également essayer de contacter un professionnel établi d'Infosec et voir s'il pourrait devenir public ou vous conseiller.
La publication (même par tweet) aura également pour effet secondaire que vous puissiez vous construire un nom.
Bien sûr, les entreprises peuvent ne pas être satisfaites de la divulgation et peuvent essayer de riposter légalement contre les chercheurs ou les journalistes.
Si vous restez dans les limites de la loi, vous pouvez réussir à vous défendre contre ce type de poursuite, mais cela ne signifie pas qu'ils ne peuvent pas vous causer de problèmes majeurs.
En ce qui concerne la loi: ce qui est autorisé ou non peut être très différent dans différentes parties du monde; vous devez vérifier quelle est votre loi locale. La plupart des pays occidentaux autorisent la recherche sur la sécurité, mais ne vous permettent pas réellement d'accéder à des données confidentielles ou de perturber les systèmes (même pas comme preuve de concept).
Certaines options sont:
Cela dit, la majorité des entreprises semblent apprécier les critiques de bonne foi et beaucoup donneront même des félicitations ou des primes publiques.
Remarque: Certaines sociétés offrent des primes mais en retour, vous souhaitez que vous conveniez de ne pas publier sans leur autorisation. Il n'est pas rare que les chercheurs refusent la prime plutôt que d'être liés par de telles conditions.
Vous ne pouvez pas simplement effectuer un audit de sécurité sans qu'ils le demandent, car cela pourrait aussi bien être interprété comme une tentative de piratage (c'est autre chose que de le découvrir accidentellement). En comparant cela aux politiques de Google, c'est une comparaison extrêmement mauvaise, car Google offre des primes pour cela - ils le demandent littéralement - et ils en paient un pour identifier les vecteurs d'attaque possibles.
Si vous ne vous sentez pas à l'aise avec la façon dont ils traitent vos informations personnelles identifiables, annulez simplement votre adhésion et demandez le effacement , ce qui est votre droit en vertu du Règlement général sur la protection des données (RGPD). Dans ce cadre juridique, ils ont très probablement dû en nommer un DPO , un soi-disant "Data Protection Officer", chargé d'assurer le respect de la loi .
À moins de pouvoir parcourir leur base de données clients et de prendre des captures d'écran comme preuve, il vaut mieux investir votre temps dans quelque chose de significatif ... comme faire du jogging anonyme dans la forêt, gratuitement et pour des raisons de confidentialité.