Question:
E-mail reçu concernant une faille de sécurité sur le site Web
WELZ
2018-01-21 11:18:45 UTC
view on stackexchange narkive permalink

J'ai reçu un e-mail à techsupport @ websitename .com (e-mail assez générique) disant qu'il y avait une faille de sécurité dans mon site Web, etc. etc

Ma première réaction a été que c'était une arnaque. (Comment / pourquoi ont-ils trouvé notre site?)

Cependant, ils ne semblaient pas chercher d'argent (jusqu'à présent) et ils l'avaient également envoyé par e-mail à partir d'un compte Gmail (ce qui me semblait inapproprié , le spam est généralement envoyé à partir de domaines étranges) - Google l'a également marqué comme important.

La rédaction générale n'est clairement pas bien éduquée, mais elle n'est pas aussi mauvaise que d'habitude.

L'adresse e-mail ressemblait également à une adresse de joueur (un nom étrange et quelques chiffres)

Voici l'e-mail:

Bonjour,

J'ai trouvé une vulnérabilité d'application Web [XSS] dans ' nom de site Web .com' qui peut amener un attaquant à effectuer des tâches non authentifiées telles que la prise de contrôle de compte et d'autres éléments malveillants tels que la dégradation du site Web (votre site), l'analyse de port via vos serveurs vers d'autres serveurs sur Internet ou peut utiliser votre site Web pour diffuser des ransomwares, et ce bogue doit être corrigé le plus rapidement possible.

En tant que chercheur en sécurité responsable, j'envoie ce courrier directement à toi sans rendre le bogue public, donc si vous êtes préoccupé par la sécurité de votre site Web et que vous souhaitez des informations détaillées et une preuve de concept de ce bogue, veuillez me contacter par e-mail - email @ gmail.com

Je serais heureux de savoir - fournissez-vous des récompenses (prime de bogue) / butin en guise de remerciement pour avoir signalé des bogues?

Merci,

- (Sonnerie étrangère) Nom

Les italiques ont été modifiés pour des raisons de confidentialité

Question:

Est-ce une chose typique que les escrocs feraient?

Si oui, qu'est-ce qu'ils essaient de gagner, quels seraient (le cas échéant) les risques de répondre à l'e-mail demandant plus d'informations .

D'un autre côté, s'il s'agit en fait d'un "chercheur en sécurité responsable" légitime, quel genre de questions dois-je poser pour le savoir.

Les commentaires ne sont pas destinés à une discussion approfondie;cette conversation a été [déplacée vers le chat] (http://chat.stackexchange.com/rooms/73274/discussion-on-question-by-welz-email-received-regarding-security-flaw-in-website).
Sept réponses:
David
2018-01-21 12:51:34 UTC
view on stackexchange narkive permalink

TL; DR : C'est probablement bien intentionné et pas une arnaque, mais juste mal écrit.

Je ne connais aucun type d'arnaque qui serait basé sur ce. Certes, il y a eu des tentatives d'extorquer de l'argent aux propriétaires de sites Web en fonction de la connaissance des vulnérabilités des sites Web (et de la menace implicite de les exploiter), mais cela ne semble pas être le cas ici.

Ce n'est pas très bien - e-mail de divulgation écrit. Je suis certainement tombé sur des vulnérabilités auparavant (évidemment, tenter de les exploiter sur un site qui n'a pas donné la permission serait illégal, mais il y en a qui peuvent être évidentes sans tenter d'exploitation), et j'ai envoyé des e-mails avec la même intention que le auteur ci-dessus, mais j'essaie de fournir tous les détails dans le premier e-mail. Je veux aider. Je ne veux pas de rebondir dans le pays des e-mails.

Si c'était moi, je leur demanderais des détails: quelle page (ou pages) contient les vulnérabilités, quels paramètres sont injectables et s'ils pourraient partager une preuve de concept. Si vous n'êtes pas familier avec XSS, je vous recommande de lire la page OWASP sur la vulnérabilité. C'est à la fois très courant et peut être critique, selon le contexte. Une preuve de concept typique (PoC) pour XSS ne sera pas dangereuse pour vous ou votre site, mais fera quelque chose comme afficher une boîte d'alerte javascript contenant le nom d'hôte du site, votre session cuit, ou même simplement le numéro 1. Chacun de ceux-ci montre qu'un attaquant malveillant pourrait exécuter Javascript sur votre site, ce qui aurait des implications importantes pour la sécurité de votre site.

Comme certains l'ont souligné, il est également possible que le le manque d'information est-ce qu'ils jouent "cinglé" chercheront une récompense / paiement. Évidemment, si votre site n'a pas publié de prime de bogue, vous n'êtes pas obligé de le faire.

Ouais, c'est juste quelqu'un qui cherche du travail.
Je peux voir au moins une raison pour ne pas donner de détails dans le premier e-mail.Si vous espérez obtenir une récompense, vous voudriez qu'ils l'acceptent avant d'envoyer les informations.Si vous envoyez tout cela en une seule fois, vous pourriez facilement craindre qu'ils ne le réparent sans jamais vous compenser ou même vous remercier pour votre aide.(Et si cela semble égoïste, je pense que vous devez considérer que la plupart des gens seraient plus motivés pour trouver / signaler des bogues après avoir été récompensés pour les bogues précédents ... même si cette récompense ne s'est produite que parce que l'entreprise n'a pas pu l'éviter.)
@Mehrdad C'est très vrai.J'ai lu à propos de ce type qui a trouvé un bogue d'un million de dollars sur Facebook et ils ont évité de le payer en disant parce qu'il gérait une escalade de privilèges (contre laquelle le programme de bounty de bogues n'a rien dit et a trouvé un bogue sous-jacent plus important), il a violé leurbounty TOS.
@DuncanXSimpson, parle des belettes!Raison n ° 1 232 135 pour ne jamais faire confiance à FaceBook.
Une preuve de concept peut également appeler `console.log`, ce qui nécessite une certaine familiarité avec les outils de développement de navigateur pour afficher le résultat de.
Ne pas donner tous les détails peut simplement être un moyen de déterminer si quelqu'un l'a regardé (sans avoir à tenter d'exploiter le site Web), en forçant la technologie concernée de l'entreprise à le contacter, au lieu d'envoyer les détails d'exploitation (ce qui peut aiderétiqueter l'e-mail comme spam également) aux contacts génériques qu'il utilisait probablement pour tenter de joindre l'entreprise.
L'arnaque est "voici le patch, collez-le simplement dans les balises", qui est en fait le XSS ...
@BaileyS Cela ressemble plus à SE qu'à XSS (car ce n'est pas intersite).
Tom
2018-01-21 14:39:37 UTC
view on stackexchange narkive permalink

Ne semble pas être une arnaque, bien qu'il puisse s'agir d'un type d'envoi en masse en raison d'un manque de détails. Peut-être qu'un gars a besoin d'argent, dirige Nessus sur un tas de sites et cherche maintenant une petite récompense de chacun?

Je lancerais moi-même Nessus (ou un autre scanner) pour vérifier, puis contacterais le gars et demandez des détails. Répondez honnêtement à sa question sur les récompenses des bogues. Si vous exécutez un programme de récompense de bogue et qu'il en a trouvé un, il devrait obtenir sa récompense, c'est à cela que sert le programme, non? Si vous ne le faites pas, expliquez simplement que vous ne le faites pas, mais soyez quand même reconnaissant pour son avertissement.

Reactgular
2018-01-22 22:40:35 UTC
view on stackexchange narkive permalink

C'est ce qu'on appelle le marketing de la peur ou appel de la peur . C'est une méthode marketing qui utilise la peur comme déclencheur de l 'action.

https://en.wikipedia.org/wiki/Fear_appeal

L'e-mail contient les 3 étapes de base de l ' appel à la peur .

  1. présentent un risque.
  2. présentent une vulnérabilité au risque.
  3. suggérer une action de protection.

C'est généralement considéré comme contraire à l'éthique.

Je signale seulement cet impact, car l'e-mail est un tentative non sollicitée d'obtenir une réponse en utilisant la peur. C'est le fait que l'expéditeur a complètement omis les détails du problème. Vous devez les contacter pour obtenir une réponse, et ils ont déjà déclaré qu'ils attendaient un gage d'appréciation .

Lorsqu'un escroc est pêcher pour les victimes , ils doivent d'abord qualifier une liste de cibles possibles. Son arnaque implique la peur comme déclencheur d’action, et si vous vous répondez, alors qualifiez-vous comme une personne qui réagit aux tactiques de peur .

C'est Probablement ils augmenteront la gravité du problème jusqu'à ce qu'un échange puisse être effectué pour obtenir des détails sur la faille de sécurité . Il / elle demandera très probablement un paiement par bitcoin pour ces informations.

Un véritable professionnel consultant en sécurité aurait fourni les coordonnées complètes , l'adresse postale et numéro de téléphone de leurs services de conseil. Ils auraient également mentionné les avantages de leurs services. Là où, cet e-mail ne mentionne que le risque de ne pas répondre.

La meilleure approche pour gérer cet e-mail est de contacter un crédible consultant en sécurité, et engagez-le pour enquêter sur les réclamations.

Alors qu'un consultant en sécurité professionnel peut faire cela, qu'en est-il d'un amateur qui met le pied dans la porte?Ils jouent avec XSS et trouvent un site vulnérable, alors ils décident d'essayer de faire connaître un peu leur nom en envoyant un e-mail.Cela semble plus probable que ce soit une arnaque, car une arnaque a tendance à être au moins légèrement plus menaçante ou à exagérer le risque de vulnérabilité dès le départ.
+1.Étant donné qu'ils n'ont rien divulgué (laissant le PO exposé) et qu'ils parlent déjà d'une récompense, j'embaucherais certainement quelqu'un d'autre pour enquêter.Quel genre de qualité doit-on attendre d'une personne non éthique de toute façon?
Le style d'écriture du courrier montre clairement qu'il ne s'agit pas d'un consultant professionnel.Ce pourrait être un amateur espérant une petite récompense, peut-être quelqu'un d'un pays du 2ème ou du 3ème monde où quelques euros sont de l'argent réel.
+1 Ce fut ma réaction immédiate;il est évident qu'ils sont A. essayant de faire peur à OP, et B. cherchent un paiement.C'est une escroquerie par e-mail 101. Arrêtez de contacter cette personne douteuse et trouvez quelqu'un de confiance.
Dmitry Grigoryev
2018-01-23 14:51:46 UTC
view on stackexchange narkive permalink

Ce n'est pas forcément une arnaque, mais je ne ferais pas confiance à la personne qui vous a contacté de toute façon:

  • ils déclarent avoir trouvé une vulnérabilité mais ne présentent pas la moindre preuve
  • ils disent que c'est déjà assez grave pour que vous couriez des risques mais choisissent de vous laisser exposé jusqu'à ce que vous les contactiez
  • ils demandent une récompense avant de livrer quoi que ce soit

De toute évidence, vous ne souhaitez pas confier votre sécurité en ligne à ces personnes. Si vous les laissez vous aider avec cette vulnérabilité, ils en sauront beaucoup plus sur votre système qu'ils ne le font actuellement. Si jamais vous décidez que vous n'avez pas besoin de leurs services, comment savoir que la prochaine vulnérabilité qu'ils trouveront ne se retrouvera pas sur le marché des exploits?

Si votre site Web a une valeur commerciale, je demanderais certainement de l'aide à experts en sécurité de votre entreprise, peut-être de votre fournisseur d'hébergement, ou même embaucher une personne plus crédible pour effectuer un audit de sécurité.

John
2018-01-23 09:09:02 UTC
view on stackexchange narkive permalink

Un e-mail similaire a été envoyé à l'un de mes clients affirmant qu'il avait une vulnérabilité SSL, avec une offre de correction. Ce client n'utilise pas SSL, donc dans ce cas il s'agissait d'une arnaque évidente. Plusieurs e-mails de ce type circulent.

Le fait que le client n'utilise pas SSL est peut-être une vulnérabilité en soi, mais il est difficile d'avoir des failles dans l'implémentation de quelque chose que vous n'avez pas implémenté.
Alex Cannon
2018-01-24 02:00:11 UTC
view on stackexchange narkive permalink

Je pense que la meilleure approche serait de répondre en demandant si la personne qui a écrit l'e-mail a un moyen de montrer qu'elle a vraiment la capacité d'obtenir un accès excessif à votre service Internet.

Vous pouvez lui donner la permission d'exploiter votre service à des fins de démonstration non destructives uniquement, car il est généralement considéré comme un accès illégal non autorisé pour lui de le faire même si cela ne nuit à rien. Une fois son attaque réussie, vous pouvez parler affaires.

La loi relative à l'accès non autorisé à un service informatique aux États-Unis est très vague, ne considère pas le préjudice causé ou l'intention de faire du mal, et peut techniquement être appliquée à presque tout. Cela peut l'empêcher de démontrer son attaque même si cela semble raisonnable.

JetJaguar
2018-01-24 06:20:13 UTC
view on stackexchange narkive permalink

lancez une analyse sur votre site et découvrez par vous-même. Les problèmes XSS sont très courants. Vous pouvez obtenir OSSIM, qui est gratuit, et comprend OPENVAS, un scanner de vulnérabilité. Vous pouvez exécuter OSSIM dans Virtualbox ou dans un autre système de virtualisation. Ensuite, scannez l'adresse IP publique de votre site Web et vous obtiendrez un rapport complet.

Cela ne répond pas vraiment à la question concernant l'OP de courrier électronique particulier reçu.Vous répondez à la question comme s'il demandait simplement "comment savoir si je suis vulnérable au XSS?", Ce qui, bien sûr, n'était pas ce qui a été demandé.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...