"корректное молчание"

I K

Guest

Это нравится:0 Да/0 Нет

12.09.2007 05:00:10

Ситуация такая: очень крупный и очень немецкий поставщик услуг имеет очень крупную уязвимость на своем сайте, через которую можно поиметь информацию, которую, в общем-то, кому попало иметь не положено.

Казалось бы, живи да радуйся! Ан нет, терзают меня жуткие мысли про то, что в этом самом деступе лежит и НАША информация, которую точно так-же может поиметь и тот, которому иметь ее не стоит.

Вот и думаю, как бы так по-политкорректнее владельцам сообщить об этом. Сейчас у всех паранойя на хакеров, возмут потом, пригласят на "конференцию", да повяжут, руки заломают, 45-й еще припомнят.

Был у кого опыт?

.::Disel::. Guest	#2 Это нравится:0 Да/0 Нет 12.09.2007 06:56:46 Не понимаю, если там лежит ваша инфа, почему бы не поговорить с конторой?

never ever

Guest

Это нравится:0 Да/0 Нет

12.09.2007 14:55:33

Цитата
.::Disel::. пишет: Не понимаю, если там лежит ваша инфа, почему бы не поговорить с конторой?

Я так и собираюсь поступить. Хочу узнать про потенциальные грабли от тех, кто уже строил такие отношения с конторами, тем более зарубежными.

Цитата
Sercun пишет: А можно попобробнее, что за сайт

это секрет

Игорь Касперук

Guest

Это нравится:0 Да/0 Нет

12.09.2007 15:21:10

Цитата
never ever пишет: Я так и собираюсь поступить. Хочу узнать про потенциальные грабли от тех, кто уже строил такие отношения с конторами, тем более зарубежными.

Если ты не собираешься никого шантажировать и тебе от них ничего не надо, а хочешь просто помочь, рассказав об уязвимости, то никто тебя "преследовать" не будет.

Если всеже сильно беспокоишься - напиши им все подробности об уязвимости с левого ящика, из-под прокси.

Андрей Комаров

эксперт

Сообщений: 895 Баллов: 909 Регистрация: 25.08.2006

Это нравится:0 Да/0 Нет

12.09.2007 18:14:04

В моём опыте проблемы были только с Францией, так как принятые там поправки в области ИБ по сути превращают Ваши намерения в нелегальные и расцениваются как правонарушение. Другой вопрос, что они оговаривают только поиск уязвимостей и их афиширование в багтраках.

Важным моментом является то, что Ваше уведомление не является спаммом и отвечать на него необязательно. Имеет ли оно коммерческую сторону? Если да, то следует этически корректно сформулировать письмо, чтобы оно не выглядело как "рэкет". Поймите правильно, не все компании позволяют себе строить бюджет на отделы ИБ )

Если нет, то стоит связаться с ними, постараться найти именно технический отдел там, уведомить их в первую очередь. Так как были случаи, когда люди писали на "представительские" мейлы компаний, их читала секретарь и успешно удаляла, расценивая это как шутку.

never ever Guest	#6 Это нравится:0 Да/0 Нет 12.09.2007 22:48:22 Ну, вроде все вери гуд. У меня там есть персональный менеджер, скинул ему информацию про дырку. Тот от имени руководства и от себя лично выразил мне большой данке шон и пообещал сообщить "куда надо", т.е. в их техотдел ) Сработали на радость оперативно - дырки больше нет. Теперь сижу гордый за свою страну! И не очень гордый за них - даже бонуса никакого не выпало )

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?