Как объяснить фирме, что их сайт содержит критическую уязвимость?

Question

[Олег Матрозов]

На одном крупном сайте нашел уязвимость, позволяющую анонимному пользователю разместить произвольный JS-код. На письмо об уязвимости мне ответили, что (цитата) «Опасность крайне незначительна.». Как объяснить сотруднику (видимо) отвечающему за сайт, что опасность значительна, и что JS-код выполняющийся на клиентской стороне позволяет практически всё что угодно?!

Answer 1

[Петруша Укропов]

Повесьте заглушку о том, что сайт на ремонте

Answer 2

[leon_ti]

Вступить в сговор с каким-нибудь сотрудником Яндекса и написать уведомление о возможном включении сайта в черный список из-за опасной уязвимости и исключении его из поисковой выдачи :)

Comments

[Олег Матрозов]

Да вы батенька затейник ))) у вас нет знакомого в яндексе?

[Николай Турнавиотов]

По моему, есть форма «зарепортить сайт с вирусней» чуть ли не на всех порталах популярных антивирусных приложений

[Олег Матрозов]

Так вирусни то там нету, и выкладывать я не намерен.

[Николай Турнавиотов]

Это Вы не собираетесь, а какой-нить ботнет этим на ура воспользуется.

Answer 3

[Mikhail Tchervonnko]

позвоните его шефу и продемонстрируйте

Comments

[Олег Матрозов]

Боюсь не все шефы понимают и «продемонстрируйте» может кончится УКРФ.

[Николай Антал]

Может и не понимают, но при упоминании слов «дыра в безопасности» и «возможность напакосить их клиентам» придадут стимул как то пошевелить того самого сотрудника

[DenKrep]

hermit931, хорошо если соответсвующий сотрудник — это ИТшный отдел. А если свою службу безопаснотси и юристов? Особенности нашего рынка. Мы в конце 90-х, начале 2000-х пытались делать то, что сейчас называли бы чем то типа ИТ-аудита начального уровня. Только «рынок» тогда вообще не понимал что мы им предлагали. Разные варианты пробовали, потому я понимаю автора… Но это очень «тонкий» вопрос. Часто действительно на грани того, чтобы тебя не приняли в лучшем случае в законный оборот. В худшем — 90-е были в то время «ещё вчера». А сколько компаний работало с практически «открытыми воротами»… когда вся внутренняя сеть безпарольно была открыта в сеть. Или не сильно напрягаясь можно было пробраться ко всем электронным документам контор. Но выйти на связь и предложить свои услыги всегд индивидуальный и сложный вопрос был. Сегдоняшние компании, всё-же, лучше понимают суть вопроса. Сейчас даже «домохозяйка» понимает что такое «потенциальная опасность взлома сети вашего предприятия».
А демонстрировать действительно опасно. И даже проверять без предварительного согласования. Можно получить неприятности.

[DenKrep]

Мы вот так, бывало, и звонили (был случай — сеть открыта буквально настеж. На рабочий стол компьютера сети под неброским названием «TheBoss» даже зайти можно было), у которого на том же столе лежали финансовые документы. Пытались как раз связаться с этим самым «the boss» и объяснить ему проблему, предложить свои услуги, чтобы сказать где у них есть «дырки» размером с пропасть и, при желании, предложить услуги по закрытии хотя бы «парадного входа». Чуть не поимели большие проблемы. Помню тот случай хорошо.
PS: названия компаний и подробности оставляю обезличенными, думаю, по понятным причинам.

[denisgorbunov]

Фантастику какую-то пишете про 1990 годы.
Интернет только-только появился, выход в интернет с постоянным подключением имело число фирм раз-два и обчелся…

[victorv]

Вот дыры именно этих «раз-два фирм» и пользовались популярностью.
Так что было.
Хорошему плохому хакеру интернет не нужен…

[DenKrep]

Ну, у меня дома интернет появился в 1995 (да, повезло, спасибо родителям, но, к концу 90-х это уже не было столь нереальным). В начало 2000 пришлась пора рассвета локальных сетей, в т.ч. предприятий, которые модно было подключать к интернету. Сети строились «как могли». Подключали — как получилось. Разбирались в этом единицы, а хотели — многие. И подключались. Не понимая рисков. Оставляя, банально, гостевые пароли. Аккаунты администрраторов и пользователей без паролей (или с класс, стандартные сетевые шары (помните ещё C$, D$ итд?). Ну это из простого что можно в двух словах в комментарии написать.

Answer 4

[proDOOMman]

Отправьте им ссылку на этот вопрос. А мы пока веселых вариантов эксплуатации дырки накидаем.

Answer 5

[DenKrep]

А у ресурса нету никакого контакта а-ля support@resource.xyz? Написать туда, что " наткнулся тут у вас на критическую уязвимость, которую злоумышленники могут использовать для получения неправомерного доступа к чему-там-вы-нашли. В порядке акта доброй воли и благих намерений, могу предоставить детальную техническую информацию — пишите / звоните — вот мой контакт. Вознаграждение за предоставленную информацию будет приветствоваться, но не является обязательным."

Comments

[Олег Матрозов]

Так я и написал по контактам, которые нашел с полным описанием проблемы, но там меня не поняли ((((

[DenKrep]

Так написали именно как я сказал, или «с полным описанием проблемы»? На первом этапе не нужно большое и детальное описание проблемы. Вас, с большой вероятностью, там прост оне поняли. Я не знаю куда вы писали, но с большой вероятностью там сидит девочка, которая просто разбирает почту и поток ваших идей просто не поняла / не оценила. Нужно короткое, но привлекающее внимание информационное сообщение, чтобы она привлекла к рассмотрению соответсвующих специалистов. Потому я и написал как написал в изначальном сообщении. А уже со специалистами говорить о «полном описании проблемы».

Answer 6

[Николай Турнавиотов]

Напишите им, что если не закроют дырку, то кто-то пошутит, добавит JS, открывающий сайт 18+, после чего всё ихнее СМИ на территории РФ отправится в бан по известному закону после репорта шутника.
Как один из вариантов дальнейшего развития событий.

Answer 7

[Александр Горский]

Нельзя людей насильно сделать счастливыми. Если не имеете там какого-либо интереса, просто забейте. Рано или поздно кто-нибудь эту уязвимость найдёт и использует, но это будет уже совсем другая история. Вы же их предупредили, значит и совесть ваша чиста.

Answer 8

[Вячеслав Голованов]

Баннер свой поставьте там, заработайте денег и бегите.

Comments

[Олег Матрозов]

Да, с учетом того, что это крупное СМИ )))… но как то не хочется таким образом

Answer 9

[dutchakdev]

Часто это лучше продать чем получить люлей за помощь.

Comments

[Николай Турнавиотов]

… с не мелким шансом попасть в «недалёкие» места, т.к. все эти вещи очень интересно мониторятся нужными службами, если без выходов в нужную компанию.

[dutchakdev]

Шансы одинаковы

Answer 10

[Sergey]

Подобные посты и вопросы мне неизменно напоминают классику:

День первый
Хакер приходит в общественную столовую и с возмущением обнаруживает, что солонку на столе может открутить кто попало и насыпать туда что угодно. Хакер приходит домой и пишет гневное письмо директору столовой: «Я, meG@Duc, обнаружил уязвимость солонки в Вашей столовой. Злоумышленник может вскрыть солонку и насыпать туда яду! Примите меры срочно!»

День второй
Директор среди прочих деловых писем, запросов о поставках еды и курьерских уведомлений получает письмо, и пожимает плечами: «Кому этот бред только в голову пришёл?»

День пятый
Хакер приходит в столовую, насыпает во все солонки яду. Погибает триста человек, директора три месяца таскают по судам и, в конце концов, оправдывают за отсутствием состава преступления. Хакер пишет письмо в стиле «ну что, видали?».

Answer 11

[ArtStudio3D]

Таки продемонстрировать. Но так, что бы не УК РФ.

Comments

[Олег Матрозов]

Сообщить ей пароль от её учетки? Ну так это тоже уже УКРФ )))

[ArtStudio3D]

Да что-то простое. Объявление типа «залатайте уже эту дырку в движке». Никто за это в здравом уме (и не в здравом тоже) не потащится с заявлением.

[Олег Матрозов]

Ну, тоже сомнительный способ. Ну вот увидит это «предупреждение» злоумышленник и раскопает проблему, и пока они будут латать, он будет совершать свои злодеяния. Хочется как то по доброму разрешить. Люди то хорошие ))) и сайт у них полезный.

[Mikhail Vasilyev]

Аккуратно выяснить, с какихайпишников лезут на сайт сотрудники самой фирмы и показать именно им их дыру. С аккуратным дисклэймером и контактами, чтобы было понятно, к кому обращаться, чтобы залатать. :)

[GaysSupremacy]

История по теме:
infowatch.livejournal.com/183680.html

Answer 12

[Anton Bobylev]

Сделайте скринкаст с proof of concept и отправьте в техподдержку.

Answer 13

[noonesshadow]

let it be — забейте

Answer 14

[bugaga0112358]

Если этот сайт не приносит денег, а выявленная уязвимость не наносит репутационных ударов и т.п., то вам вполне правильно ответили, что «опасность крайне незначительна», имея ввиду опасность для бизнеса :)

Если же реализация найденной вами уязвимости может привести бизнес к потерям, и вы очень хотите достучаться до бизнеса, то необходимо стучать тем, кто в этой компании с помощью этого сайта делает деньги. И выражать свои мысли нужно в денежном эквиваленте: не в эфемерных «код, выполняющийся на стороне клиента, позволяет практически все», а в ощутимых «я знаю слабое звено вашего бизнеса, способное привести к потерям в X баксов с вероятностью в Y%».

Comments

[Олег Матрозов]

Ну, вот скажите. Сайт (а точнее их два) являются:
1) Сайтом российского отделения международного телеканала;
2) Сайтом российского популярного печатного издания;
Т.е. оба сайта — это СМИ с достаточно большой посещалкой. Такая уязвимость вредит их бизнесу?

[bugaga0112358]

Сложно однозначно ответить на ваш вопрос, не имея достаточно входных данных…

К сожалению, я не слишком осведомлен в регулировании деятельности СМИ, но если медиа — столп своей индустрии, занимающий львиную долю рынка, то обращение, как правило, тонет в бюрократической машине, или им просто будет пофиг. Медиа же, активно борющееся за аудиторию, ваше обращение может заинтересовать.

Опять же еще один важный вопрос — должностное лицо, которому вы направите свое обращение. Может, найденную проблему уже решают, просто вы написали человеку, который за допущение такой ошибки получит по шапке. Он сейчас исправит, а потом отчитается, что мол, был мелкий недочет, но быстро исправили.

Примерная подача материала: На вашем сайте обнаружена уязвимость, создающая финансовые и репутационные риски. В определенных случаях вам может грозить как отток аудитории, так и замечания со стороны регулирующих организаций… бла-бла-бла…

И вот такое письмо следует отправлять на почту не рядового сотрудника, а человека, который имеет некоторую ответственность за этот бизнес.

Если что — можете написать в личку, постараюсь помочь :)

[bugaga0112358]

И еще.

Если вас не слушают ни сверху, ни снизу, то здесь два варианта:
1) прийти работать в эту компанию на соответствующую должность
2) забыть об этом

Реализация в демонстрационных целях может быть чревата плохими последствиями. Такие вещи можно делать только при подписании договора об оказании соответствующих услуг.