Задать вопрос
@john_samilin

Что нужно сделать когда я нашел баг в чужой ИС?

Добрый день,
я зарегистрировался на сайте некой зарубежной государственной организации. Попробовал восстановить пароль - и пароль пришел мне в письме в открытом виде. То есть в базе пароль хранится в незашифрованном виде. Это очевидный пробел в плане информационной безопасности!
Что мне делать дальше? Написать этой организации с просьбой изменить формат хранения данных? Такой ли это ужасный косяк?
  • Вопрос задан
  • 2329 просмотров
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 6
@mamkaololosha
> То есть в базе пароль хранится в незашифрованном виде
Никто не мешал серверу дешифровать пароль из md5. Так что нельзя сказать, как они там хранятся.
Ответ написан
@Akellacom
CTO
Напиши им на почту, расскажи о проблеме
Ответ написан
Комментировать
Вы не знаете как он в базе хранится пока не видите базу, может он там зашифрован: достали, расшифровали и отправили вам в письме )) А вот то что в открытом виде в письме посылают а не дают ссылку на восстановление - это конечно небезопасно немного уже.
Ответ написан
@azShoo
Вариант 1:
Написать письмо. Вероятнее всего проигнорируют, если не проигнорируют - то не ответят. Если и ответят, то не исправят.

Вариант 2:
Смириться с несовершенством мира.

Увы и ах, миллионы и миллионы сервисов присылают письмо с паролем в открытом виде (хотя это, само по себе, гораздо менее безопасно, чем хранить его в бд в открытом виде).
Некоторые даже вместе с ответом на секретный вопрос.
Почему? Ответ прост: всем, мягко говоря, не особо волнительно от этого факта.

Вариант 3:
Проэксплуатировать эту уязвимость, получить непредназначенные вам данные, связаться с СБ и объяснить.
Велика вероятность получить люлей.

Так же замечу, что в большинстве случаев, хранение пароля в открытом виде - не самая серьезная уязвимость.
Ответ написан
Комментировать
@cssman
Пиши скрипт, эксплуатирующий эту уязвимость. Выгружай большую базу логин-пароль + метаданные. Дальше вариант либо незаконно использовать и вероятно понести наказание, либо предоставить в СБ, желательно на посты повыше, либо непосредственно выходить на руководящие должности.
Если получится проэксплуатировать уязвимость (в чём я сильно сомневаюсь) и в организации не дураки - сделаешь мир ИБ чуточку лучше и(или) заработаешь денег, но не факт.
Ответ написан
Комментировать
Fqyeh29
@Fqyeh29
↓ ИМХО ↓
Это не совсем баг. Присылать пароль в открытом виде не хорошо конечно, но не смертельно.
У самого в бд хранятся зашифрованное данные, не сложным методом, но все же, и перед как их использовать, просто расшифровываю)..
Хотя паролей у меня вовсе нет :D
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы