Задать вопрос
@fr0zenbrains

Надо ли сообщать о найденной уязвимости?

Здравствуйте, перебирая дорки нашел ftp сервер одной сети региональных интернет магазинов. На сервере в свою очередь нашел файл - в лучших традициях (password.txt) с паролями от почты этой компании в разных регионах. Так как пароли везде одинаковые, то и для админки они подойдут, а там и БД...Также целый ворох договоров,отчетов,информации о денежных счетах,реквизитов,контактной информации,внутренней документации. Что мне теперь с этим делать, прочитав истории о уголовных делах и даже преследовании спецслужб, как то становиться не по себе. Как я понял у фирмы нет внятного технического специалиста или хоть какой-то поддержки и мое сообщение о уязвимости могут расценить как атаку или еще чего хуже.
  • Вопрос задан
  • 2763 просмотра
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
в текстовик напишите и все.... они поймут...
Ответ написан
Комментировать
@DaNHell
Change the world
Хех) Ну начнем с того что "Волков бояться...".
Если захотят - найдут, даже не отправив им report c Вашей стороны.
Если все это делалось (как я полагаю - все-же попробовали пароль от админки?), с толком, и хотя-бы элементарным канальным шифрования подключения (смотря как еще взаимодействовали кроме ftp), а лучше в комплексе - аля vpn / vps / vds.
Уж вряд ли думаю за баг репорт будут копаться...

Используйте тикеты на сайте/сайтах (электронную почту лучше сразу отбросить), другие контактные данные с начальством: icq/ IM/ skype/ номер телефона (фри смс с сайта оператора).

Ну и конечно если у них попахивает web dev'ом, то можно поискать Bug Tracking System, пускай даже будет только для team разрабов. Так сказать приятно удивите их )

А так просто сообщите и не паранойте, забугром такие повадки оценивают и благодарят не только словом.
В РФ же максимум - словом, и еще хорошо если добрым )) Но абузить Ваш IPшник никто не будет. По крайней мере серьезные компании..
Да и с "обратной стороны" вопрос уже обсуждался
Comments
Ответ написан
Может быть мне просто везло, но мои попытки сообщить о какой-либо уязвимости НИКОГДА не расценивались как взлом. Оставляют без элементарного "спасибо" и исправляют уязвимость часто, ещё чаще благодарят (на вознаграждение я всегда намекаю), но ни разу не пытались угрожать.

На всякий случай вы можете сообщить об уязвимости анонимно
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы