נוהל דיווח על פירצה באתר

אבי

מצאתי באתר מסוים פירצה חמורה שמאפשרת בקלות לראות נתונים סודיים... של כלל המשתמשים.
מה הנוהל הנכון לדווח על זה?
(אחרי הטיפול אגלה לכם מי זה... תהיו בהלם מרמת המחדל!)

yossiz

@אבי אמר בנוהל דיווח על פירצה באתר:

אחרי הטיפול

בהנחה האופטימית שהם יטפלו בזה במהירות...

תהיו בהלם מרמת המחדל

אתר ישראלי? לא תצליח להפתיע אותי...

מה הנוהל הנכון לדווח על זה?

הבעיה היא שאין נוהל...

אפשר לנסות מייל לכתובת security@domain
או למצוא פרטי קשר אחרים.
יש חברות שמשלמים לחוקרי אבטחה על פריצות, אבל במקרים כאלו הם מפרסמים את זה איפשהו.
אפשר לחפש פה: https://www.hackerone.com אם הם נמצאים. רוב הסיכויים שלא...
(עריכה: אני רואה עכשיו שיש להם שירות שאם נתקלת בבעיות בדווח באג הם עוזרים לך לדווח גם אם לחברה אין קשר להם)
יש יוזמה לעשות תקן עבור פרסום דרכי יצירת קשר ועוד בנושאי אבטחה בקובץ security.txt, לדוגמה הנה הפרטים של גוגל: https://www.google.com/.well-known/security.txt, תבדוק אם לחברה זו יש קובץ כזה.

מעלה ומוריד

@אבי אמר בנוהל דיווח על פירצה באתר:

סודיים

כגון?

אבי

@yossiz תודה. בודק.

אבי

@מעלה-ומוריד אמר בנוהל דיווח על פירצה באתר:

@אבי אמר בנוהל דיווח על פירצה באתר:

סודיים

כגון?

לא סתם כתבתי סודיים...
כשאכתוב מי זה תבין למה
פשוט אבסורד הזוי!

Aharon 0

@אבי אתה יכול לפנות לאנשים ידועים (לדוגמא: רן בן זיק), ההתייחסות אליהם תהיה שונה.
תנסה להיעזר ב: מערך הסייבר הלאומי.(

MusiCode

בישראל -
אלו אנשי מערך הסייבר הלאומי.
הם פונים לחברה המדוברת.

אין להם כוח ושיניים, אלא זו המלצה בלבד...

רן בר-זיק מפרסם ב'הארץ'. אולי זה איום מספק,
מתי שצריך...

אפרים22

@אבי אמר בנוהל דיווח על פירצה באתר:

מה הנוהל הנכון לדווח על זה?

חפש פה את המייל של בעלי האתר
https://hunter.io/

shraga

נסה לחפש את הפרטים ברשומות הwhois של הדומיין.

כמו"כ ניסית לפנות דרך ה"צור קשר"/פרטי יצירת קשר שבדרך כלל מופיעים באתר?

חינמי

אבי

מערך הסייבר הלאומי זה לדיווח על אירועי סייבר שמתרחשים, לא על תקלות ופירצות אבטחה.
כמו כן, אין בעל האתר, זה ארגון... ממשלתי.
לא מצאתי גם דרך לתקשר עם רן בר זיק (אם מישהו מכיר, אשמח לקבל)
רציתי לדעת אם יש נוהל לפניות מהסוג הזה במקום לפנות בצורה הרגילה כמו לפניות אחרות, אבל כנראה שאין משהו מיוחד, אז ננסה בדרך הרגילה.
אעדכן בהמשך.

shraga

@אבי אמר בנוהל דיווח על פירצה באתר:

לא מצאתי גם דרך לתקשר עם רן בר זיק (אם מישהו מכיר, אשמח לקבל)

info@bar-zik.com
ran@bar-zik.com

אבל לא חושב שנכון לערב אותו, לפחות לא בשלב הראשון...

yossiz

@אבי יש עוד דרך, לעשות להם בושות במדיה חברתית ("שיימינג" בלע"ז)... בד"כ זה עובד מיידית.

אבי

@yossiz אמר בנוהל דיווח על פירצה באתר:

@אבי יש עוד דרך, לעשות להם בושות במדיה חברתית ("שיימינג" בלע"ז)... בד"כ זה עובד מיידית.

בעיה רצינית לפרסם את זה בלי אחריות
יכול לפגוע בהרבה חפים מפשע...

יוני הלפרין

פוסט זה נמחק!

clickone

@אבי אתה כן יכול לדווח למערך הסייבר על פירצות אבטחה
דיברתי איתם בשבוע שעבר על משהו שמצאתי.
הם אומרים לך לשלוח, והם בודקים ומעבירים הלאה.

בד"כ כשמתקבל מייל מהם לדעתי זה יותר רציני מאשר מסתם מישהו חשוב ככל שיהיה.

אתה יכול לשלוח להם מייל לכתובת מייל team@cyber.gov.il

ודווקא בגלל שהם אירגון ממשלתי אז יש להם לדעתי יותר כח ושיניים לפתור את זה

nigun

@clickone
אם התיאורים של נועם רותם ועידו קינן נכונים, אז למעט במקרים של ארגונים ממשלתיים
הדבר היחיד שיש להם לעשות הוא להעביר הלאה, ובתכל'ס ברוב המקרים של הזוג לעיל
זה לא מוזיז לחברות עד שרן בר זיק כותב על זה, ואז פתאום דברים זזים, ואגב הם משתדלים לא לפרסם בצורה שיוכל לגרום נזק.

כמובן שבארגון ממשלתי אמור להיות להם את הכוח לשנות.

mgm ivr

כשלי פעם היה פריצה רצינית למערכת קהילות (לפני כמה שנים)
שיכלו להיכנס לבן אדם גם ללא הקשת סיסמה אלא רק עם ת.ז.
ואז לתרום "עבורו" כמה כסף שרוצים לאן שרוצים
התקשרתי ותוך 2 דקות כבר חסמו את זה

אני משער שבנידון דנן שזה משרד ממשלתי פשוט תתקשר, אולי זה יקח לך כמה דקות עד שיענו... אבל זה יותר שווה מאשר לשלוח מייל

חוקר

@mgm-ivr אמר בנוהל דיווח על פירצה באתר:

גם ללא הקשת סיסמה

ללא הקשת סיסמא כלל? או פירצה שניתן למצוא את הסיסמא של הזולת?

mgm ivr

@חוקר אמר בנוהל דיווח על פירצה באתר:

@mgm-ivr אמר בנוהל דיווח על פירצה באתר:

גם ללא הקשת סיסמה

ללא הקשת סיסמא כלל? או פירצה שניתן למצוא את הסיסמא של הזולת?

ללא הקשת סיסמה