it-swarm-es.com

¿Cómo informo a una empresa que encontré una base de datos filtrada de ellos en Internet?

Recientemente encontré una base de datos filtrada de una empresa y no sé cómo contactarme. Es muy extraño porque no puedo encontrar ningún tipo de correo electrónico de contacto de Seguridad de la Información para informarlo. Solo tiene un correo electrónico de soporte. Me siento incómodo enviando el enlace al correo electrónico de soporte.

¿Debo solicitar un contacto de correo electrónico de seguridad de la información de esa compañía o qué debo hacer? Por cierto, el correo electrónico de soporte para la empresa es más un fraude o un correo electrónico de soporte al cliente, no un soporte técnico o seguridad.

Además, ¿cuál sería una buena plantilla a seguir para dar una mejor idea de la base de datos filtrada?

Para aclarar, no probé la penetración de ningún sitio web que posea o distribuya o que tenga alguna relación con la compañía que parezca probable que sean posibles creadores de la base de datos. Sin embargo, encontré la base de datos mientras usaba mis habilidades de búsqueda en Internet. No utilicé ninguna herramienta especial ni métodos calculados. No soy un mago que sepa dónde están todas las bases de datos o fugas. Me encuentro con contenido que está flotando en Internet en lugares donde no deberían estar.

La forma en que encontré la base de datos fue de manera legal y no ilegal.

72
Arkest Must

No brinde información de seguridad a personas que no sean de seguridad. Utilice cualquier método de contacto disponible para solicitar la persona de seguridad adecuada. No des detalles sobre lo que encontraste hasta que encuentres a alguien que lo entienda.

Luego proporcione los detalles sobre lo que encontró. No pida recompensas ni exija ningún tipo de acción o de lo contrario es muy probable que no lo tomen en serio. Solo brinde ayuda y déjese a ellos tratar con ellos.

No estoy seguro de qué tipo de plantilla necesitas. Dales la información/pasos que necesitan para localizar la información que encontraste. Si suena demasiado "programado", puede sonar como un estafador. Se humano. Se útil.

94
schroeder

Una opción si no tiene suerte para encontrar los datos de contacto es ponerse en contacto con el CERT (Equipo de respuesta a emergencias informáticas/cibernéticas) en el país de su entidad o de la entidad Lista de CERT globales . Estas organizaciones generalmente tienen métodos para contactar a las personas apropiadas (dentro de la entidad afectada y las autoridades nacionales).

Al menos en Australia, es probable que el contacto de AusCERT y ACSC (Centro de Seguridad Cibernética de Australia) se tome más en serio que el contacto de una persona aleatoria y desconocida. n artículo de Troy Hunt sobre sus experiencias en el manejo de la fuga de la base de datos de la Cruz Roja Australiana con AusCERT da su opinión sobre el desempeño de AusCERT. Recomiendo leer el artículo completo, pero pase a "Manejo del incidente de AusCERT y la Cruz Roja" para ver el resumen de Troy.

37
Aaron

Premisa inicial: El hallazgo se obtuvo legalmente

Debe desenterrar quién es su contacto de seguridad, quién en la organización debe ser contactado para revelar fallas de seguridad. Cómo se organiza (o no) eso depende totalmente de la organización. También depende de ellos ignorarlo o malinterpretarlo, así que tenga esto en cuenta y establezca sus expectativas.

Encontrar un contacto dentro de la organización (cualquiera) para hablar directamente o preguntar en un canal público a veces son formas útiles de llegar a las personas adecuadas con el tiempo.

Tenga en cuenta lo que está informando y cómo comunica el hallazgo. Estás ofreciendo ayuda, que pueden rechazar o ignorar. Póngase en contacto, establezca un diálogo, ofrezca recomendaciones si puede, intente medir el nivel técnico de los contactos y su interés en aprender y solucionar el problema.

12
Pedro

¿Cuánto esfuerzo quieres hacer y por qué quieres hacerlo?

respuesta de bajo esfuerzo, "No me importan, solo quiero ser una buena persona": Consíguete un correo electrónico desechable. Envíeles un mensaje a la dirección de soporte, comenzando con "reenvíe a CISO u otra persona responsable de la seguridad de la información" y hágales saber dónde encontró qué, que no espera respuesta o compensación, tenga un buen día, adiós.

Si le importa por alguna razón, contáctelos por teléfono y conéctese con la persona de seguridad a cargo. Hay una habilidad para superar a las personas de primer nivel y pueden ignorarte, solo inténtalo de nuevo; es probable que estés en un centro de llamadas y que obtengas una persona diferente la segunda vez. El mensaje dado en persona debe ser el mismo: lo que encontraste, dónde lo encontraste (¡no les envíes el DB directamente, apúntales dónde pueden encontrarlo ellos mismos!), Que no esperes ninguna compensación, ten un buen día.

Es muy importante que usted señala muy claramente que no los está chantajeando. El mensaje "Tengo algunos de sus datos secretos" se considera muy fácilmente una amenaza.

Solución de alto esfuerzo: el CISO para esta empresa podría estar en LinkedIn u otra red profesional. Intenta encontrarlo allí y contacta directamente. De lo contrario, escriba un carta física para ellos, dirigido al CISO y/o al CEO (el nombre del CEO debería ser fácil de encontrar en el directorio de una compañía). Las cartas físicas todavía se toman mucho más en serio que los correos electrónicos, y la información de la dirección generalmente se respeta, es decir, si se dirige por nombre al CEO, será abierta por su secretaria, no por algún centro de llamadas agente.

5
Tom

Considere entregar la información a una cámara de compensación imparcial y conocida como Troy Hunt.

https://www.troyhunt.com/ y https://haveibeenpwned.com/

De esa manera puedes permanecer completamente anónimo.

5
Criggie

Una opción más en caso de que la jurisdicción relevante no tenga una organización CERT (aunque es muy probable que si estás leyendo esta publicación, vives en un país con una u otra empresa en ese país) y puedes ' No encuentre otra forma de contactar a una persona relevante en la empresa, pero con la que debe ser más cuidadoso es contactar a un periodista neutral competente especializado en seguridad de la información. Es comprensible que la mayoría de las empresas se muestren reacias a escuchar a nadie aleatorio que las contacte de la nada con un mensaje que indique que han encontrado una base de datos filtrada dando vueltas. Sin embargo, un periodista es diferente de una persona aleatoria en formas significativas:

  1. Tienen una huella mucho más pública en línea que se puede encontrar fácilmente y demuestran que saben de lo que están hablando;
  2. Tienen una reputación que proteger, tanto de sí mismos como de su empleador, y como tal dan una mejor impresión de que es grave y que no lo están haciendo para obtener ganancias rápidas;
  3. Es más probable que obtengan una respuesta efectiva porque se desaconseja a una empresa ignorar a los periodistas que denuncian infracciones. Una de las peores pesadillas de relaciones públicas que puede tener una empresa es un artículo en un periódico que describe la piratería de una base de datos de la empresa y la PII a disposición del público, con uno de los párrafos que detalla cómo se contactó a la empresa varias veces sin respuesta.

Nota: definitivamente querrá un reportero competente que esté afiliado a una publicación conocida. Realmente no deberías elegir un sensacionalista sensacionalista o un sitio web/estación de televisión con un fuerte sesgo político. Sin embargo, no quiero decir con esto que deba ir inmediatamente a un sitio como The Verge o The Register. Especialmente con compañías más pequeñas que están fuertemente enfocadas en un pequeño número de ciudades o una pequeña región, podría ser más prudente ir a un periódico local o una estación de radio local, porque hay una mayor posibilidad de familiarizarse con los periodistas y la publicación involucrada. .

Una observación final es que esta ruta casi siempre termina en que la fuga se vuelva EXTREMADAMENTE pública. Debido a eso, esto solo debe usarse como último recurso en caso de que todo lo demás termine en un callejón sin salida. Debe estar absolutamente seguro de que este resultado es lo que desea y que es un mejor resultado que mantenerlo en silencio. Definitivamente, hay algunas compañías por ahí donde un artículo como este puede tener complicaciones de gran alcance en todos los niveles de la sociedad, incluso hasta el punto de que puede arruinar las amistades, terminar los matrimonios y costar vidas.

2
Nzall

Dudé antes de publicar esta respuesta, ya que solo es útil para aplicaciones web, pero creo que pertenece aquí.

Hay algunos esfuerzos que intentan estandarizar la forma en que se deben informar los problemas de seguridad, y una fuga de base de datos es uno de esos. La propuesta se llama security.txt , y que yo sepa, el documento sigue siendo un borrador .

security.txt (en pocas palabras)

Para una empresa

Consiste en tener un archivo de texto llamado "security.txt" en la raíz del sitio web de la compañía, por ejemplo: example.com/security.txt, también se podría poner en el .well-known carpeta: example.com/.well-known/security.txt. La idea es poner toda la información necesaria sobre cómo informar un problema de seguridad en este archivo.

Para un investigador de seguridad

Si esta propuesta se adopta ampliamente, en caso de que un investigador de seguridad encuentre un problema de seguridad en una empresa en particular, debe buscar este archivo en particular y, con suerte, saber cómo abordarlo (informarlo).

Más sobre security.txt

2
Anis