Quote:
Originariamente inviato da Wrib
Quindi se ho capito bene potrebbe essere perseguito per aver diffuso il report del bug non avendo i diritti d'autore su tale report perchè aveva perso tali diritti sottomettendolo al programma di bounty?
|
Potrebbe ma non lo sarà mai perché sarebbe pessima pubblicità per Twitter e HackerOne che non vogliono compromettere la loro postura di volemosebene. L'invio del report è un trasferimento di proprietà intellettuale, l'utente non aveva alcun diritto di pubblicare qualcosa che non era più suo
Quote:
Originariamente inviato da Wrib
Se non avesse inviato il report a twitter, ma avesse subito reso pubblico il bug, dicendo "ei twitter hai questo bug, lo sapevi?", non sarebbe stato perseguibile?
|
Dipende. Accettare i termini di un BBP o VDP implica la presenza di un "safe harbor" che consente effettivamente ai ricercatori di attaccare entro certi limiti un'organizzazione senza conseguenze legali. Se il ricercatore si mantiene entro i limiti stabiliti dalle policy, qualunque causa nei loro confronti cadrebbe in sede di giudizio. Occhio che ho specificato "entro certi limiti", ci sono cose non accettabili indipendentemente dal "safe harbor". La vulnerabilità qui discussa era certamente entro questi limiti, il comportamento che ne è scaturito invece no
Quote:
Originariamente inviato da biometallo
Da ignorante concordo, anzi direi che è palese che tale falla fosse decisamente grave non a caso appena resa pubblica sono subito corsi a chiuderla
|
Non è così grave, XSS+CSRF a cavalcioni della sessione dell'utente autenticato è un 6.5 medio, massimo 8.1 alto, ma non grave e critica come altre istanze.
Quote:
Originariamente inviato da biometallo
anzi mi chiedo se nel caso in cui venisse scoperto che durate in tempo in cui tweeter\x era stata informata di tale falla si scoprisse che sia stata effettivamente usata per compiere degli attacchi malevoli se tweeter\x non ne sarebbe stata responsabile e magari chiamata perfino a risarcirne i danni, dato che hanno di fatto volutamente trascurato l'evidente pericolo.
|
No, perché non è un data breach e non sono tenuti ad informare nessuno di alcunché sotto alcuna giurisdizione. Sono affari interni del SOC.
Quote:
Originariamente inviato da nebuk
Però credo che ci sia stato un problema di comunicazione anche da parte di X.
Se ti segnalano un bug del quale sei già al corrente, dovresti almeno far riferimento ad un ticket che riporti la data della segnalazione precedente.
Altrimenti basterebbe dire "si grazie ma lo sapevo già" per non pagare più nessuno.
|
I problemi di comunicazione partono dagli hacker che inviano queste segnalazioni. 4 casi su 5 infarciscono i report di emerite stronzate dai toni allarmanti e urgenti o direttamente aggressivi per farsi pagare. Da lì in poi la comunicazione si sgretola perché non tutti i team di sicurezza sono composti da perfetti idioti o gente di marketing, quindi automaticamente l'autore della segnalazione viene considerato un maleducato.
Per quanto riguarda invece il "sì grazie ma lo sapevo già", fornire le evidenze agli utenti non è sempre consentito poiché i ticket interni contengono a) PII di altri utenti b) proof-of-concept e vettori ancora non noti c) movimenti laterali o verticali non rivelati e non noti all'autore tardivo. Le evidenze di un duplicato sono gestite internamente e sono provviste alla piattaforma responsabile quando necessario. In questo caso, se HackerOne ha preso le parti dell'hacker ed ha chiesto a Twitter le prove del ticket interno, Twitter ha fornito ad HackerOne le prove necessarie. Queste prove possono o non possono essere condivise con il ricercatore che, in ogni caso, è legalmente tenuto a seguire pedissequamente i termini ai quali ha acconsentito.