L'azienda chiama i poliziotti sul ricercatore per la divulgazione responsabile della fuga di dati
Buongiorno cari lettori, oggi parleremo di un azienda cha ha chiamato la polizia dopo ave subito u hack.
Mentre gli hacker dal cappello bianco vengono pagati per aver segnalato i difetti, questo particolare ricercatore è stato segnalato alla polizia dopo aver divulgato responsabilmente una fuga di dati.
Normalmente i ricercatori di sicurezza che riscontrano violazioni dei dati e vulnerabilità nell'infrastruttura informatica delle organizzazioni vengono ringraziati per il loro impegno nell'aiutare a rendere sicura l'azienda o vengono pagati da programmi di bug bounty .
Tuttavia, questo particolare ricercatore è stato denunciato alla polizia dopo aver trovato una fuga di dati in un'azienda e averne informato il proprietario.
Questo ci ricorda anche l'incidente del 2015 in cui Wesley Wineberg, un ricercatore di sicurezza indipendente, partecipando al programma di bug bounty di Facebook, è riuscito a farsi strada attraverso le difese di Instagram e ottenere quasi il controllo completo del servizio.
Subito dopo che il ricercatore ha rivelato la vulnerabilità a Facebook, la società ha minacciato di citare in giudizio, invece di pagare la ricompensa che gli era dovuta per il suo lavoro.
Per quanto riguarda il recente incidente, il ricercatore sulla sicurezza si chiama Rob Dyke e, pur essendo un hacker dal cappello bianco, è anche un sostenitore dell'open source. In un tweet dell'8 marzo 2020, il ricercatore ha rivelato di aver scoperto due repository pubblici su Github nel febbraio 2021 e di aver informato il proprietario di quella fuga di dati.
I repository contenevano:
Chiavi API
Nomi utente
Le password
Codice dell'applicazione
URL di elementi incorporati di terze parti.
Seguendo la procedura standard, il ricercatore ha deciso di crittografare i dati sensibili, archiviarli e conservarne una copia per un periodo di divulgazione di 90 giorni. Nel frattempo, ha informato i proprietari dei dati in merito alla fuga di notizie e lo ha aiutato a portare offline le informazioni sensibili.
Inoltre, ha anche avvertito che il codice dell'applicazione contenuto all'interno era basato su un vecchio framework PHP contenente vulnerabilità di SQL injection ed esecuzione di codice remoto ( RCE ).
Abbastanza inaspettatamente, all'inizio di marzo, Dyke ha ricevuto un avviso dal proprietario dell'organizzazione che consisteva nella minaccia di un'azione legale per accesso non autorizzato ai propri dati.
L'azienda chiama i poliziotti sul ricercatore per la divulgazione responsabile della violazione della sicurezza
Tuttavia, ha affermato che i repository sarebbero stati esposti online per due anni, lasciando ampio spazio agli attori della minaccia per sfruttare le informazioni pubblicate.
Secondo il tweet di Dyke , ha deciso di chiedere aiuto a un avvocato esperto di tecnologia per aiutarlo ad affrontare questo inaspettato bullismo da parte dell'organizzazione che in precedenza lo aveva ringraziato per il suo impegno.
L'azienda chiama i poliziotti sul ricercatore per la divulgazione responsabile della violazione della sicurezza
Tuttavia, poiché alcune informazioni erano ancora online in quel momento, decise di mantenere tutto nascosto e non rivelò il nome dell'organizzazione.
Il ricercatore e il proprietario dell'azienda apparentemente sono giunti a una risoluzione, ma poi il ricercatore ha pubblicato una lettera della polizia della Northumbria in cui gli avevano chiesto di contattarli in merito a una segnalazione di uso improprio del computer.
A questo punto il ricercatore ha finalmente rivelato il nome dell'organizzazione che era Apperta Foundation, una società con sede nel Regno Unito con servizi collegati al National Health Service (NHS).
Il fatto che la polizia stesse persino chiedendo a Dyke di fornire la sua versione della storia mostra che Apperta ha continuato a denunciare l'evento alla polizia, mettendo in pericolo il ricercatore e possibilmente sottoponendolo a un processo per scrollarsi di dosso le conseguenze di un potenziale intruglio.
In fin dei conti, questa storia dimostra solo come le persone che tentano legittimamente di aiutare le organizzazioni sono quelle che spesso finiscono nei guai e se qualcuno si preoccupa di segnalare le violazioni, dovrebbero farlo in modo anonimo
