Задать вопрос

Нахождение уязвимости — преступление?

Хотел бы поинтересоваться у хабровчан.

Нашел на сайте одной крупной (федерального уровня) госконторы SQL-инъекцию (получение полного доступа к БД, включая логины и пароли в открытом виде), отправил в техподдержку описание.

Вопрос — чисто теоретически, могут ли меня привлечь к ответственности, если я только обнаружил уязвимость и никак ей не воспользовался? Всё-таки меня беспокоит тот факт, что контора государственная а обнаружил я уязвимость чисто случайно (в том смысле, что не юзал специального софта и никаких прокси и анонимайзеров)
  • Вопрос задан
  • 4553 просмотра
Подписаться 3 Оценить 3 комментария
Пригласить эксперта
Ответы на вопрос 6
@MikhailEdoshin
Вы лучше в следующий раз на двач отправьте, там знают, что делать. И голова болеть не будет.
Ответ написан
Комментировать
@mithraen
Чисто юридически — могут. В реальности зависит от адекватности конкретных людей.
Ответ написан
Комментировать
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
Если бы целью не задавались — то не обнаружили бы!
А если обнаружили — значит у Вас была цель.
Т.е. умышленные действия.
А умышленные — преступление.
Вот и вся логика людей, которые пополняют себе PR-level за выдачу таких как Вы в негативном виде тем, кто ничего не понимает в этом…
К сожалению…
Удачи Вам!!! (она Вам понадобится!)
Ответ написан
У нас возможно всё.
А правомерность того что Вы сделали ввели на законодательном уровне только в Нидерландах насколько я знаю, и на хабре была статья.
Ответ написан
Комментировать
prabhu
@prabhu
1. Заюзай уязвимость
2. Потри логи.
3. Наследи с прокси.
4. Отошли фидбек админам.

5. PROFIT
Ответ написан
Ну сами то как думаете?
Вот представьте вы местный админ\начальник it отдела. Хочется повышение и премию, а тут вы такой красивый с репортом. Если бы это был хакер через тор то его еще найди и докажи, и вы прямо со своего домашнего компа написали в тех поддержку, приходи и сажай. Телевидение, премия, повышения, родина в безопасности, вам дают пару лет условно, все довольны, в т.ч. вы, что легко отделались. А что работать теперь только грузчиком, ну, что поделать.

С другой стороны, наследив в логах и не написав техподдержку вы рискуете наверное даже больше.

Таким образом получается просто случайно обнаружив уязвимость вы уже одной ногой в тюрьме.

Ну это если рассматривать негативный сценарий. Возможно там во главе it департамента сидит хороший парень, который отправит вам письмо с благодарностью, но практика показывает, что чаще нет.

Хотябы вот: habrahabr.ru/post/166459/
Президент компании Skytech сказал, что парню грозит от 6 до 12 месяцев тюрьмы, если он прямо сейчас не приедет и не подпишет NDA…
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы