Luka w sieci operatora bez bug bounty

Przypuśćmy hipotetycznie, że wiem o podatności dużego operatora telekomunikacyjnego pozwalającej na nieuprawniony dostęp do danych osobowych abonentów. Imiona, nazwiska, numery telefonów, adresy email, usługi z których korzystają poszczególni abonenci, pozycje na fakturach, adresy zamieszkania i do korespondencji, informacje o zadłużeniach, wezwaniach do zapłaty, notach obciążeniowych, przekazaniach długów do windykacji, itd.

Operator jest duży (miliardy kapitału) a nie ma programu bug bounty.

Co z tym zrobić aby nie narazić się na problemy?

Najbezpieczniej? Nic. Ewentualnie spróbować zgłosić anonimowo.

Por. przypadek Tauron.

@Saalin: Ale za anonimowe zgłoszenie chyba nie dostanę nic w zamian. A już na pewno za nic nie robienie.

PS. Ta hipotetyczna luka nie była przeze mnie w żaden sposób exploitowana ani testowana. Jest to przypadkowe odkrycie.

Lepiej dostać nic niż wyrok. A jeśli to przypadkowe odkrycie do nawet w kontratyp z Art. 269c k.k. się nie łapie.

@wolna: zgłaszasz to do cert.pl a oni już dalej pociągną temat.

Jeżeli tylko zależy ci na naprawieniu błędu to zgłoś anonimowo (tor/protonmail) do nas do CERT.pl (przez https://incydent.cert.pl albo cert@cert.pl).

@Saalin: Ale za co wyrok? Załóżmy, że hipotetyczne odkrycie nastąpiło w trakcie zwykłej eksploatacji sieci Internet.

@Rev: cert.pl też chyba nie ma bug bounty.

Czyli jednak chodzi o pieniądze?

@Rev: Tak, dlatego od początku piszę o bug bounty. Tylko, żeby nie narobić sobie kłopotów, nie dopuścić się np. szantażu, itd.

Przecież to de facto jest szantaż, sugerujesz, że nie wskazesz błędu jeśli nie dostaniesz nic w zamian, a w kodeksie jest wprost, że musisz niezwłocznie zawiadomić firmę o błędzie, jeśli chcesz wykorzystać wyłączenie przestępstwa. A już uzyskanie dostępu do informacji, która nie jest dla Ciebie przeznaczona jest w k.k. uwzględniona.

To jedyna szansa jaką widzę, żeby w takim przypadku legalnie zarobić jakiekolwiek pieniądze to:

1. zgłoszenie błędu bez proszenia o jakiekolwiek pieniądze (bo nawet jeżeli pojawi się minimalna sugestia, że chcesz pieniądze to może zostać to zakwalifikowane jako szantaż),
2. następnie zaoferowanie usługi testów bezpieczeństwa (najlepiej jako firma) i faktyczne ich wykonanie.

Ew. jeżeli powiesz który to operator to mogę się dowiedzieć czy prowadzą niepubliczny program bug bounty (wbrew pozorom np. sporo polskich banków takie programy prowadzi). Ale tutaj też może być problem, bo jeżeli nie było najpierw do niego zaproszenia to znów mogą być to niezamówione testy.

Już był taki jeden co znalazł lukę i chciał za to pieniądze
https://niebezpiecznik.pl/post/to-on-pobral-dane-klientow-taurona/
skończyło się tak że uznali to za próbę wyłudzenia:
https://niebezpiecznik.pl/post/edison-zatrzymany-przez-policje/

więc albo zgłoś anonimowo i ciesz się dobrym uczynkiem, albo bezpieczniej nic z tym nie rób, lub napisz do niebezpiecznika i oni to bezpiecznie dla Ciebie zgłoszą

@Saalin: W którym kodeksie i gdzie? Jeśli chodzi o art. 269c k.k., to najpierw trzeba popełnić przestępstwo określone w art. 267 § 2 lub art. 269a. A to są przestępstwa umyślne, a rozmawiamy na razie zupełnie hipotetycznie o luce odkrytej przypadkowo bez takiego zamiaru. Załóżmy, że o istnieniu podatności wywnioskowano legalnie przeglądając logi lub przypadkowo zauważono dane osobowe w zrzucie ruchu tcpdump podczas diagnostyki sieci, do której miałem legalny dostęp jako admin.

Jeszcze inna możliwość żeby skapitalizować na tym to zgłoszenie błędu za darmo i wysławienie swojego imienia na swoim blogu albo nbzp / z3s / sekuraku (a potem wszystkich mediach, które przedrukują od nich artykuł). Pieniądze przyjdą w postaci kontraktów na testy bezpieczeństwa albo lepiej płatnej pracy :).

Nawet jeśli odkryjesz lukę przypadkiem i na tej podstawie twierdzisz, że to nie przestępstwo to powodzenia z przekonaniem kogokolwiek do tego. Jak dla mnie obchodzisz zabezpieczenia i tyle, w mniej czy bardziej wyrafinowany sposób.

Rev napisał(a):

...

Ew. jeżeli powiesz który to operator to mogę się dowiedzieć czy prowadzą niepubliczny program bug bounty (wbrew pozorom np. sporo polskich banków takie programy prowadzi). Ale tutaj też może być problem, bo jeżeli nie było najpierw do niego zaproszenia to znów mogą być to niezamówione testy.

Załóżmy, że chodzi o jednego z "wielkiej czwórki" operatorów w Polsce i że odkrycie było bez prowadzenia "niezamówionych testów".

A Zerodium lub coś a'la Zerodium?
Jak do tego podejść?

Może firmy zajmujące się pentestami lub red teamingiem byłyby zainteresowane udzieleniem przeze mnie płatnych konsultacji w zakresie tej podatności i jej wykorzystania w legalnej działalności? Wtedy to chyba byłoby zgodne z prawem, dobrze myślę?