Foto: AP
Als u op zoek bent naar een les in hoe het niet moet reageren om bug reports, kijk dan niet verder dan Boedapest, waar ook het openbaar vervoer is het krijgen van savaged op Facebook voor snitching op een security-onderzoeker die ontdekt dat er een fout in het online ticketing site.
Boedapest-het openbaar vervoer-systeem, de melton mowbray pork Közlekedési Központ (BKK), is veelbelovend voor de uitrol van een e-ticketing systeem voor jaar—maar nu het systeem is eindelijk hier, en de introductie is een trainwreck.
Een 18-jarige student ontdekt dat er een fundamentele lek in BKK ‘ s van e-ticketing site die laat hem wijzigen van de prijs van een ticket en koop het tegen een veel lagere kosten, Bleeping Computer rapporten. Hij stapte van zijn browser in developer modus—en dat kunt u ook doen met een snelle recht-op—en was in staat om te veranderen de site in de bron code. Hij melding van de fout binnen twee minuten naar BKK, dus het zou kunnen worden opgelost, maar BKK gereageerd door het melden hem aan bij de politie.
Omdat de man van de arrestatie van BKK ‘ s Facebook pagina is overspoeld met meer dan 46,000 één-ster beoordelingen van verontwaardigde gebruikers. Velen van hen zijn het herpubliceren een uitspraak toegeschreven aan de jonge onderzoeker, waarin hij zegt dat hij leeft niet in de buurt van Boedapest en maakte geen gebruik van het ticket kocht hij, maar gewoon gemeld dat het een beveiligingsprobleem naar BKK, op twee minuten van het ontdekken.
In een verklaring, BKK, zei dat het een standaard procedure voor het melden van overtredingen van de systemen, maar betreurt het dat het rapport negatief beïnvloed, een jonge student die handelde “in goed vertrouwen.”
Witte hoed hackers kunnen vaak blowback van bedrijven die nog niet gewend zijn aan het omgaan met hen—een aantal bedrijven in paniek bij het zien van een bug-rapport. Het is niet ongehoord voor een bedrijf melden van een witte hoed naar de politie, maar dat gebeurt meestal wanneer de hacker is veel meer opdringerig. Het bellen van de politie over een dergelijke voor de hand liggende kwetsbaarheid lijkt overdreven—genoeg, zodat we 46.000 mensen schrijven Facebook beoordelingen over.
“Het is absurd, het maakt me erg boos eigenlijk,” zei Adam Bacchus, chief bounty-officier in de bug bounty bedrijf HackerOne. “Sommige organisaties, zodra ze zien dat iedereen die probeert de beveiliging te testen, pak de telefoon en bel de politie.”
Maar bedrijven moeten blij zijn om te horen van goedbedoelde hackers rapportage gebreken, Bacchus zegt. De kwetsbaarheden bestaan van beide manier, en bedrijven moeten meer willen weten over hen voordat de slechteriken doen. HackerOne soms fungeren als tussenpersoon en verslag kwetsbaarheid voor hackers die willen om anoniem te blijven.
[Bleeping Computer]