Vulnerabilità in area riservata... cosa faccio?

no_hat · 22-04-2013, 23:06

Salve a tutti. Cerco di venire subito al dunque con una breve ma importante premessa.
Lavoro per un'azienda che non si occupa di informatica, ma data la sua dimensione, ha dei reparti di engineering. Io però sono un operaio di questa azienda, anche se laureato in ingegneria informatica. Questo anche perchè la laurea l'ho conseguita successivamente all'assuzione in azienda.
L'azienda è pubblica, e come tale ha dei problemi nel riconoscere meriti e capacità di persone valide (non che tutti quelli che ricoprono posizioni importanti in queste aziende siano poco meritevoli). Ho deciso quindi di cercare di farmi notare in un qualche modo.

Il personale ha accesso ad un'area riservata (link pubblico su pagina web dell'azienda) per effettuare richieste di vario genere (ferie, cambi, comunicazioni, ecc..). Quest'aerea riservata ha una vulnerabilità che mi ha permesso di accedere alle pagine personali di ogni dipendente. Non sono un disonesto e non mi va di danneggiare dei miei colleghi quindi ho deciso di far notare alla mia azienda, attraverso un tramite, questa falla di sicurezza.
La persona a cui è stato fatto notare non è tecnica, ma ricoprendo una posizione più elevata avrebbe dovuto comprendere i rischi che una vulnerabilità del genere può provocare. Come tutta risposta sono stato ignorato dato che questa persona pensa che siccome non sono stati violati i libri paga allora non ci sono rischi.
Io non la penso così.
Ora il mio dilemma.... io ho la testa abbastanza tosta

e spesso mi faccio male
1) espongo il problema a qualcun altro (vado a bussare a porte in piani più alti)
2) vado fino in fondo (in parole povere do una sbirciatina ai libri paga - ho trovato un accesso wifi alla vpn aziendale

quindi mezza fatica è fatta)
3) ignoro tutto
Io in settimana opto per la numero 1, anche perchè con la 2 il rischio è elevato (anche se certe operazioni le faccio in tutta sicurezza) e con la 3 sinceramente non ce la faccio.
Insomma voi che fareste...
Spero in buoni consigli

Ps
Scrivo nella sezione programmazione perchè è l'unica che seguo assiduamente e perchè so che è frequentata da molti professionisti

The_ouroboros · 23-04-2013, 07:32

In linea di massima il tuo compito finirebbe una volta riportata la cosa al tuo superiore in maniera ufficiale e documentata..

Inviato dal mio Sony Xperia P

banryu79 · 23-04-2013, 08:35

Quote:

La persona a cui è stato fatto notare non è tecnica, ma ricoprendo una posizione più elevata avrebbe dovuto comprendere i rischi che una vulnerabilità del genere può provocare. Come tutta risposta sono stato ignorato dato che questa persona pensa che siccome non sono stati violati i libri paga allora non ci sono rischi.
Io non la penso così.

Se hai notificato la cosa in maniera da lasciare traccia del fatto (ad esempio via email al tuo superiore, magari inviandola in CC a qualche altro responsabile/collega che può centrare con la questione) sei a posto.

Il superiore ti ignora e:
1) Non succede niente? Hai fatto il tuo dovere.
2) Capita lo scenario peggiore? Hai fatto il tuo dovere e lo puoi dimostrare, a quel punto la responsabilità cade altrove.

cdimauro · 23-04-2013, 09:30

Escalation: da evitare assolutamente.

no_hat · 23-04-2013, 10:00

In effetti quando mi è stato chiesto (sto usando un tramite di fiducia per ora) se i libri paga potevano essere compromessi io ho risposto "è possibile". Questo avrebbe dovuto allarmare un responsabile/dirigente o comunque un personaggio che ricopre cariche abbastanza di rilievo all'interno dell'azienda.
Mi è venuto quindi il dubbio di aver fatto 2 errori: 1 non essermi fidato della persona giusta (il mio tramite) e 2 di aver scelto il responsabile idiota per riportare la falla.
Ho fatto la scelta di usare un tramite perchè era una persona di cui mi fidavo e che poteva parlare in modo più libero con i responsabili.

Comunque misà che mi conviene mandare una mail all'engineering e riportare il problema. Si prenderanno il merito ovviamente ma almeno spero risolveranno il bug.

idoido · 23-04-2013, 10:52

manda una email (in modo che resti prova della tua segnalazione) al reparto o alla persona competente descrivendo il problema e stop.
Posso capire la voglia di veder riconosciuti i propri meriti, ma alla fine per cosa? una pacca sulla spalla?
Valuta l'eventualità di candidarti quando si apriranno posizioni nei reparti di engineering.

no_hat · 23-04-2013, 11:16

Quote:

Originariamente inviato da idoido

manda una email (in modo che resti prova della tua segnalazione) al reparto o alla persona competente descrivendo il problema e stop.
Posso capire la voglia di veder riconosciuti i propri meriti, ma alla fine per cosa? una pacca sulla spalla?
Valuta l'eventualità di candidarti quando si apriranno posizioni nei reparti di engineering.

Anche tu hai ragione. Il problema è il magna magna che ci sta in queste aziende. Quando si aprono posizioni in altri reparti non si viene mai a sapere. O al massimo si viene a sapere il giorno dopo la scadenza. Quei posti sono già assegnati. Il termine meritocrazia non esiste. Ecco perchè ho deciso di provare a rendermi visibile.

banryu79 · 23-04-2013, 13:21

Quote:

Originariamente inviato da no_hat

Anche tu hai ragione. Il problema è il magna magna che ci sta in queste aziende. Quando si aprono posizioni in altri reparti non si viene mai a sapere. O al massimo si viene a sapere il giorno dopo la scadenza. Quei posti sono già assegnati. Il termine meritocrazia non esiste. Ecco perchè ho deciso di provare a rendermi visibile.

Non vorrei dire una cazzata, ma se l'ambiente è come l'hai descritto allora "renderti visibile" potrebbe portarti più rogne che vantaggi...
Io nella tua situazione andrei con la mail di segnalazione e stop.

22-04-2013, 23:06	#1
no_hat Junior Member Iscritto dal: Apr 2013 Messaggi: 3	Vulnerabilità in area riservata... cosa faccio? Salve a tutti. Cerco di venire subito al dunque con una breve ma importante premessa. Lavoro per un'azienda che non si occupa di informatica, ma data la sua dimensione, ha dei reparti di engineering. Io però sono un operaio di questa azienda, anche se laureato in ingegneria informatica. Questo anche perchè la laurea l'ho conseguita successivamente all'assuzione in azienda. L'azienda è pubblica, e come tale ha dei problemi nel riconoscere meriti e capacità di persone valide (non che tutti quelli che ricoprono posizioni importanti in queste aziende siano poco meritevoli). Ho deciso quindi di cercare di farmi notare in un qualche modo. Il personale ha accesso ad un'area riservata (link pubblico su pagina web dell'azienda) per effettuare richieste di vario genere (ferie, cambi, comunicazioni, ecc..). Quest'aerea riservata ha una vulnerabilità che mi ha permesso di accedere alle pagine personali di ogni dipendente. Non sono un disonesto e non mi va di danneggiare dei miei colleghi quindi ho deciso di far notare alla mia azienda, attraverso un tramite, questa falla di sicurezza. La persona a cui è stato fatto notare non è tecnica, ma ricoprendo una posizione più elevata avrebbe dovuto comprendere i rischi che una vulnerabilità del genere può provocare. Come tutta risposta sono stato ignorato dato che questa persona pensa che siccome non sono stati violati i libri paga allora non ci sono rischi. Io non la penso così. Ora il mio dilemma.... io ho la testa abbastanza tosta e spesso mi faccio male 1) espongo il problema a qualcun altro (vado a bussare a porte in piani più alti) 2) vado fino in fondo (in parole povere do una sbirciatina ai libri paga - ho trovato un accesso wifi alla vpn aziendale quindi mezza fatica è fatta) 3) ignoro tutto Io in settimana opto per la numero 1, anche perchè con la 2 il rischio è elevato (anche se certe operazioni le faccio in tutta sicurezza) e con la 3 sinceramente non ce la faccio. Insomma voi che fareste... Spero in buoni consigli Ps Scrivo nella sezione programmazione perchè è l'unica che seguo assiduamente e perchè so che è frequentata da molti professionisti

23-04-2013, 07:32	#2
The_ouroboros Senior Member Iscritto dal: May 2007 Città: Milano Messaggi: 7103	In linea di massima il tuo compito finirebbe una volta riportata la cosa al tuo superiore in maniera ufficiale e documentata.. Inviato dal mio Sony Xperia P __________________ Apple Watch Ultra + iPhone 15 Pro Max + Rog Ally + Legion Go

23-04-2013, 09:30	#4
cdimauro Senior Member Iscritto dal: Jan 2002 Città: Germania Messaggi: 26110	Escalation: da evitare assolutamente. __________________ Per iniziare a programmare c'è solo Python con questo o quest'altro (più avanzato) libro @LinkedIn Non parlo in alcun modo a nome dell'azienda per la quale lavoro Ho poco tempo per frequentare il forum; eventualmente, contattatemi in PVT o nel mio sito. Fanboys

23-04-2013, 10:00	#5
no_hat Junior Member Iscritto dal: Apr 2013 Messaggi: 3	In effetti quando mi è stato chiesto (sto usando un tramite di fiducia per ora) se i libri paga potevano essere compromessi io ho risposto "è possibile". Questo avrebbe dovuto allarmare un responsabile/dirigente o comunque un personaggio che ricopre cariche abbastanza di rilievo all'interno dell'azienda. Mi è venuto quindi il dubbio di aver fatto 2 errori: 1 non essermi fidato della persona giusta (il mio tramite) e 2 di aver scelto il responsabile idiota per riportare la falla. Ho fatto la scelta di usare un tramite perchè era una persona di cui mi fidavo e che poteva parlare in modo più libero con i responsabili. Comunque misà che mi conviene mandare una mail all'engineering e riportare il problema. Si prenderanno il merito ovviamente ma almeno spero risolveranno il bug.

23-04-2013, 10:52	#6
idoido Senior Member Iscritto dal: May 2008 Messaggi: 429	manda una email (in modo che resti prova della tua segnalazione) al reparto o alla persona competente descrivendo il problema e stop. Posso capire la voglia di veder riconosciuti i propri meriti, ma alla fine per cosa? una pacca sulla spalla? Valuta l'eventualità di candidarti quando si apriranno posizioni nei reparti di engineering.

Strumenti
Mostra una versione stampabile Invia questa pagina per email