web-dev-qa-db-fra.com

E-mail reçu concernant une faille de sécurité dans le site Web

J'ai reçu un e-mail à techsupport @ websitename. Com (e-mail assez générique) disant qu'il y avait une faille de sécurité dans mon site Web, etc., etc.

Ma première réaction a été que c'était une arnaque. (Comment/pourquoi ont-ils trouvé notre site.)

Cependant, ils ne semblaient pas chercher d'argent (jusqu'à présent) et ils l'avaient également envoyé par e-mail à partir d'un compte Gmail (ce qui me semblait éteint, le spam est généralement envoyé à partir de domaines étranges) - Google l'a également marqué comme important.

L'écriture globale n'est clairement pas bien éduquée, mais elle n'est pas aussi mauvaise que d'habitude.

L'adresse e-mail ressemblait également à une adresse de joueur (un nom étrange et quelques chiffres)

Voici l'email:

Bonjour,

J'ai trouvé une vulnérabilité dans les applications Web [XSS] dans 'websitename. Com' qui peut conduire un attaquant à effectuer des tâches non authentifiées telles que la prise de contrôle de compte et d'autres éléments malveillants tels que le défilement Web (votre site), l'analyse de port via vos serveurs à d'autres serveurs sur Internet ou peuvent utiliser votre site Web pour propager Ransomware, et ce bogue doit être corrigé le plus rapidement possible.

En tant que chercheur responsable de la sécurité, je vous envoie ce courrier directement sans rendre le bogue public, donc si vous êtes préoccupé par la sécurité de votre site Web et que vous souhaitez des informations détaillées et une preuve de concept de ce bogue, veuillez me contacter sur mon courrier - email @ gmail.com

Serait heureux de savoir - offrez-vous des récompenses (primes de bogues)/Swag en signe d'appréciation pour avoir signalé des bogues?

Merci,

-(nom étranger)

Italique ont été modifiés pour la confidentialité

Question:

Est-ce une chose typique que les fraudeurs feraient?

Si oui, qu'essaient-ils de gagner, quels seraient (le cas échéant) les risques de répondre à l'e-mail demandant plus d'informations?.

D'un autre côté, s'il s'agit en fait d'un "chercheur responsable en matière de sécurité" légitime, quel genre de questions dois-je poser pour le savoir.

emailaccount-securitywebsitesemail-spoofing
57
WELZ

TL; DR : C'est probablement bien intentionné et pas une arnaque, mais juste mal écrit.

Je ne connais aucune sorte d'escroquerie qui serait basée sur cela. Certes, il y a eu des tentatives d'extorquer de l'argent aux propriétaires de sites Web sur la base de la connaissance des vulnérabilités des sites Web (et de la menace implicite de les exploiter), mais cela ne ressemble pas au cas ici.

Ce n'est pas un e-mail de divulgation très bien écrit. J'ai certainement rencontré des vulnérabilités auparavant (évidemment, tenter de les exploiter sur un site qui n'a pas donné l'autorisation serait illégal, mais il y en a qui peuvent être évidentes sans tenter d'exploiter), et j'ai envoyé des e-mails avec la même intention que le auteur ci-dessus, mais j'essaie de fournir tous les détails dans le premier e-mail. Je veux pour aider. Je je ne veux pas pour rebondir dans les courriels.

Si c'était moi, je leur demanderais des détails: quelle (ou quelles) pages contiennent les vulnérabilités, quels paramètres sont injectables et s'ils peuvent partager une preuve de concept. Si vous n'êtes pas familier avec XSS, je vous recommande de lire la page OWASP sur la vulnérabilité . C'est à la fois très commun et peut être critique, selon le contexte. Une preuve de concept (PoC) typique pour XSS ne sera pas dangereuse pour vous ou votre site, mais fera quelque chose comme une boîte d'alerte javascript contenant le nom d'hôte du site, vos sessions de cuisine ou même simplement le numéro 1. Tout cela montre qu'un attaquant malveillant pourrait exécuter Javascript sur votre site, ce qui aurait des implications importantes pour la sécurité de votre site.

Comme certains l'ont souligné, il est également possible que le manque d'informations les incite à jouer "en cage" à la recherche d'une récompense/d'un paiement. De toute évidence, si votre site n'a pas de prime de bogue publiée, vous n'êtes pas obligé de le faire.

102
David

Ne semble pas être une arnaque, bien qu'il puisse s'agir d'un type de publipostage en raison du manque de détails. Peut-être qu'un gars a besoin d'argent, dirige Nessus sur un tas de sites et cherche maintenant une petite récompense de chacun?

J'exécuterais moi-même Nessus (ou un autre scanner) pour vérifier, puis contacter le gars et lui demander des détails. Répondez sincèrement à sa question sur les récompenses de bogues. Si vous exécutez un programme de récompense de bogue et qu'il en a trouvé un, il devrait obtenir sa récompense, c'est à cela que sert le programme, non? Si vous ne le faites pas, expliquez simplement que vous ne le faites pas, mais que vous êtes quand même reconnaissant pour son attention.

36
Tom

Cela s'appelle peur du marketing ou peur de l'attrait. Il s'agit d'une méthode de marketing qui utilise peur comme déclencheur pour action.

https://en.wikipedia.org/wiki/Fear_appeal

L'e-mail contient les 3 étapes de base de peur de l'attrait.

  1. présenter un risque.
  2. présentent une vulnérabilité au risque.
  3. suggérer une action protectrice.

Il est généralement considéré comme contraire à l'éthique.

Je ne fais que signaler cet impact, car l'e-mail est une tentative non sollicitée d'obtenir une réponse en utilisant la peur. C'est le fait que l'expéditeur a complètement omis les détails du problème. Vous devez les contacter pour obtenir une réponse, et ils ont déjà déclaré qu'ils attendaient un signe d'appréciation.

Quand un arnaqueur est pêche pour victimes ils doivent d'abord qualifier une liste de cibles possibles. Son arnaque implique la peur comme déclencheur de l'action, et si vous répondez, vous pouvez être considéré comme une personne qui réagit à la tactique la peur.

C'est probablement ils aggraveront le sérieux du problème jusqu'à ce qu'un échange puisse être fait pour plus de détails sur le faille de sécurité. Il/elle demandera très probablement le paiement par bitcoin pour les informations.

Un vrai consultant en sécurité professionnel aurait fourni les coordonnées complètes , l'adresse postale et le numéro de téléphone de leurs services de consultation. Ils auraient également mentionné les avantages de leurs services. Dans ce cas, cet e-mail mentionne uniquement le risque de ne répondant pas .

La meilleure approche pour traiter cet e-mail consiste à contacter un consultant en sécurité crédible et à l'embaucher pour enquêter sur les réclamations.

18
Reactgular

Cela ne doit pas être une arnaque, mais je ne ferais pas confiance à la personne qui vous a contacté de toute façon:

  • ils déclarent avoir trouvé une vulnérabilité mais ne présentent pas la moindre preuve
  • ils disent que c'est déjà assez grave pour que vous soyez à risque mais choisissent de vous laisser exposé jusqu'à ce que vous les contactiez
  • ils demandent une récompense avant de livrer quoi que ce soit

De toute évidence, vous ne voulez pas confier votre sécurité en ligne à ces personnes. Si vous les laissez vous aider avec cette vulnérabilité, ils en sauront beaucoup plus sur votre système qu'aujourd'hui. Si jamais vous décidez que vous n'avez pas besoin de leurs services, comment savez-vous que la prochaine vulnérabilité qu'ils trouveront ne se retrouvera pas sur le marché des exploits?

Si votre site Web a une valeur commerciale, je demanderais certainement l'aide d'experts en sécurité de votre entreprise, peut-être de votre hébergeur, ou même d'embaucher quelqu'un de plus crédible pour effectuer un audit de sécurité.

6
Dmitry Grigoryev

Un e-mail similaire a été envoyé à l'un de mes clients affirmant qu'ils avaient une vulnérabilité SSL, avec une offre de correction. Ce client n'utilise pas SSL, donc dans ce cas c'était une arnaque évidente. Plusieurs e-mails de ce type flottent.

4
John

Je pense que la meilleure approche serait de répondre en demandant si la personne qui a écrit l'e-mail a un moyen de montrer qu'elle a vraiment la possibilité d'avoir un accès excessif à votre service Internet.

Vous pouvez lui donner la permission d'exploiter votre service à des fins de démonstration non destructive uniquement, car il est généralement considéré comme un accès non autorisé illégal pour lui de le faire même si cela ne nuit à rien. Une fois son attaque réussie, vous pouvez parler affaires.

Aux États-Unis, la loi concernant l'accès non autorisé à un service informatique est très vague, ne tient pas compte du préjudice causé ou de l'intention de le faire, et peut techniquement s'appliquer à presque tout. Cela pourrait l'empêcher de démontrer son attaque, même si cela semble raisonnable.

2
Alex Cannon

lancez une analyse sur votre site et découvrez par vous-même. Les problèmes XSS sont très courants. Vous pouvez obtenir OSSIM, qui est gratuit et comprend OPENVAS, un scanner de vulnérabilité. Vous pouvez exécuter OSSIM dans Virtualbox ou un autre système de virtualisation. Ensuite, scannez l'IP publique de votre site Web et vous obtiendrez un rapport complet.

0
JetJaguar