mitaichik
@mitaichik

Что будет за раскрытие факта уязвимости на гос-ресурсе?

Добрый день.

Случайно нашел уязвимость на крупном гос ресурсе, через которую можно спереть перс данные (фио, номер паспорта и т.д.) о их пользователях (пол России)

Написал в поддержку, сказали спасибо, передадут в ответственное подразделение.
Прошла неделя, ничего не исправлено. Сказал что если не исправят - буду писать в сми - молчание.

Есть ли риски, если я раскрою факт наличия у них уязвимости, без ее описания?
С одной стороны есть понимание что без привлечение внимания никто не пошевелится, а в это время перс данные (в том числе и мои) могут слить.

С другой стороны - ссыкотно.
  • Вопрос задан
  • 268 просмотров
Решения вопроса 7
Jump
@Jump
Системный администратор со стажем.
Есть ли риски, если я раскрою факт наличия у них уязвимости, без ее описания?
Конечно. Вплоть до уголовного дела.

Ну я бы на их месте в случае раскрытия вами уязвимости обратился в полицию - а дальше найти вас дело техники.
Ответ написан
sergey-gornostaev
@sergey-gornostaev
Седой и строгий
На Хабре десятки статей, а в интернете и сотни на тему "Я раскрыл уязвимость и на меня завели уголовное дело".
Ответ написан
CityCat4
@CityCat4
Если я чешу в затылке - не беда!
Есть ли риски, если я раскрою факт наличия у них уязвимости, без ее описания?

Конечно.
Им же нужно будет найти "виноватого". А Вы тут, рядом. За жабры Вас - и в виноватые :)
Ответ написан
Aleksandr-JS-Developer
@Aleksandr-JS-Developer
Бери и делай
Есть ли риски, если я раскрою факт наличия у них уязвимости, без ее описания?

Нет, рисков никаких. Риск - это вероятность, а тут точно и определённо по шее получите.
К сожалению, пока их не взломают и не натворят кипишу - никто не двинеться с места.

Попробуйте расширить предполагаемый вектор атаки для полного доступа к сервису, закрепитесь через бэкдор и через бэкдор залатайте дыру. Потом бэкдор сам себя удаляет. Думаю, история станет фурором. Вам, конечно, влетит серьёзно, но хайпу словите предостаточно.
Ответ написан
Vamp
@Vamp
Напишите обращение в Роскомнадзор. Персональные данные - это их вотчина.

Мол, данный сайт раздает персональные данные направо и налево, прошу провести правовую оценку и принять меры.

Не пишите про взлом или ещё что-то. Иначе это повод для ст. 272 УК РФ. Плохо, что вы угрожали публикацией в СМИ. Это тоже могут использовать против вас.
Ответ написан
@Legal2019
Всё в имени моём... и радость и печаль...
Можете найти руководство и выйти к ним на беседу. Если этот сайт делали не из госсектора (есть спец ведомство), то можете и туда обратиться может вам работу предложат ))
Ответ написан
sashkets
@sashkets
Даром получили — даром давайте (Матфея 10:8)
Теперь, если их взломает третья сторона, подозрение падет на Вас. Плохо
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
bestowhope
@bestowhope
Печатает...
Ну для начала нужно думать чтоб вот так в открытую палить себя, пусть даже с добрыми намерениями.
На будущее: Если вы такой добрый самаритянин, вещай не паля себя и смотри на реакцию. В твоем случае реакции нет, а значит и делать с этим грязные дела или нет - твое дело.
Это первое.

А второе. Зачем тебе вещать о факте наличия уязвимости? Кричать ходить вокруг? - Так поделом тебе будет.

"Тише едешь, дальше будешь"
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы