Nu inteleg de ce ai abordarea asta, ca le-ai dat timp ca etc. Daca divulgi o vulnerabilitate valida faci puscarie. Chiar si testarea e infractiune, in majoritatea jurisdictiilor, nu stiu cum e reglementata in Romania. Au mai gasit si alti cercetatori cate un IDOR fara rate limiting pe la ANAF sau aiurea dar au facut CVD ca la carte si au publicat la final sau unii nu au publicat deloc.
In contextul in care s-au soluționat nu văd problema sa le divulg. Ne asumăm răspunderea pentru riscurile juridice Am trecut prin procesul de CVD. Faptul că public fara să îmi confirme este pentru că acum este momentul in care trebuie lumea sa fie informată. După uita și nu se iau măsuri, și se repeta problema. A trecut o săptămână, au oprit platforma, au reparat, au repornit. In continuare platforma merge prost. Eu nu voi sta 2 ani până va merge bine pentru că risc daca amân sa nu meargă niciodată. Pe cale de concluzie, fac public. --- Ca încadrare, nu intra pe penal pe infr obținute. Te gândești la chestii complicate, la pentesturi reale. Nu atât de bine îs gândite platformele sa trebuiască să te chinui să găsești probleme.
@@incorpo_ro cam intra, cand ai urcat datele pe YT, chiar si filmulet privat. Practic toti care au avut linkul au vazut datele cetatenilor. Nu e mare chestie dar nu cred ca e firesc. Trebuia sa trimiti doar la DNSC dovada (Proof of Concept), nu sa stie toti functionarii detaliile bugului. Sau cel.putin asta reiese din filmuletul asta, ca ai date din analytics ca xyz deviceuri au accesat filmuletul ala.
Pentru că am mai raportat doar la DNSC și nu s-au luat celelalte măsuri impuse de lege. Notificare victime, măsuri organizatorice etc. DNSC închide gaura. Nu se asigura că nu mai apare iar. Problema sistemică se rezolvă prin a te asigura că răspund cei care sunt culpabili și nu se mai întâmplă în viitor. Știi vreo amenda NIS pt problemele care apar zilnic? Fraierii ca cei ca mine au doar un timp limitat sa identifice și să ia măsuri sa se rezolve problemele.
@@incorpo_ro @incorporo7024 Pai si crezi ca e normal ca pana sa rezolvi bugul sa dai acces tuturor functionarilor la datele respective? Si la ceea ce presupun ca a fost un IDOR care le permite unor functionari care nu ar avea acces la datele respective sa .. acceseze datele? Ce vreau eu sa spun e ca indiferent de indolenta autoritatilor, nu te transformi in problema. Asta daca lucrezi pe curat cu nume si prenume. Altfel o dai anonima si aia ei, reactioneaza prompt dar ai facut pagube aiurea.
@@howtocyberwar Hai sa le luam pe rand, pentru ca mi se pare ca te-ai dezinformat singur cu speculatia si ai ajuns la concluzii proaste. 1. Legislatia nu impune obligatia de raportare, dar daca esti un actor white hat, prima oara notifici DNSC, prin sistemul de CVD, cum am facut, impreuna cu autoritatea vulnerabila. Pentru ca institutiile publice sunt indolente mai ales ca functionarul nu e afectat de brese cat timp nu sunt datele lui si nu ii e teama de o sanctiune, o solutie buna sa grabesti raspunsul este ulterior sa trimiti la sefi respectiv alte institutii de forta care pot amenda institutia in culpa. De aceea, trimiti la Ministerul Justitiei (sefii lor) si la ANSPDCP (cei cu protectia datelor). Cand discutam de o platforma traversata de zeci de mii de oameni zilnic, eu cred ca prin faptul ca s-a redus timpul de raspuns la cateva ore de la o zi, deja inseamna cu mii mai putine request-uri si exploatari in the wild a problemelor. 2. Intr-adevar, a fost, printre ele si o vulnerabilitate IDOR. Vulnerabilitate care a fost raportata exclusiv la nivel teoretic, au incercat sa o rezolve, au lansat platforma peste cateva ore cu IDOR-ul nerezolvat. Acum nu mai accesai doar ruta, foloseai API endpoint-ul. Ei au scos butonul din FE. Deabea dupa ce am vazut asta, am facut un videoclip prin care am condamnat raspunsul si deabea atunci au inchis platforma. Cand ameninti institutiile publice ca ii dai in gat daca musamalizeaza, atunci primesti raspunsuri rapide. Drept dovada, platforma a stat inchisa doua zile, timp in care s-au rezolvat problemele. Problemele erau in mare parte rezolvate luni seara, iar eu am asteptat pana astazi sa notific ca exista. 3. Functionarii aia care tu zici ca n-aveau voie, aveau. ANSPDCP e organ constatator pentru brese de date, MJ e superior direct si au voie sa vadaa informatii secret de serviciu de la cei din subordine. Daca ai fi lucrat cu institutiile de forta in Romania (DIICOT, ministere, etc) ai vedea cat de grasa este incompetenta. Uneori chiar este nevoie sa le dai chestii tangibile, pentru ca daca ii iei cu teoria, isi iau shut-down. Intr-adevar, se rezolva pe moment pentru ca intervin fostii membri ai serviciilor acum in retragere la DNSC, care sunt competenti si operativi. Dar ei nu au atributii sa urecheasca institutiile publice ca dau banii aiurea, nici sa comunice victimelor problema si mai ales sa faca ghiduri pentru victime. Ok, poate ca au vazut ca datele se pot obtine fara a merge prin parghiile standard, dar clar datele alea erau ceva ce ei puteau vedea, si mai mult, erau responsabili de anumite aspecte ale solutionarii problemelor. Sa iti dau un exemplu punctual, deja de 6 luni ma lupt cu ICCJ sa respecte legislatia privind sigiliile electronice. Folosesc SHA-1. Poti falsifica un act ca fiind sigilat de ICCJ pe 15k dolari. Am reclamat si ras-reclamat. Vrei sa vezi ce muie mi-am luat de la ADR si ceilalti experti din domeniu cu validarile din PDF cu Adobe Acrobat Reader program de expertiza tehnica? :))))))))) Nu le pasa pana nu ii doare. 4. Nu stiu daca ai mai identificat si raportat probleme in Romania cu privire la diverse vulnerabilitati. 2 ani de zile, se puteau publica clandestin legi in Monitorul Oficial. Problema cat se poate de severa. Am contactat RAMO care imi propunea sa vin la licitatie, ca ei au inteles "ca imi fac reclama". Am comunicat un an de zile mai tarziu DNSC-ul, etc, iar, cu aceleasi probleme. Nu s-au rezolvat. Acum vreo 5-6 luni am primit un mail ca au suferit o bresa de date. Am verificat, era rezolvata problema. Concluzia? N-am fost singurul nebun care a gasit ce aveau ei pe acolo. Tine cont ca eu nu caut asa vulnerabilitati ca n-am ce face. Lucrez in lawtech, am nevoie de un serviciu, nu merge sa il folosesc si fac debugging. SI mai gasesc o galusca, doua, trei, 10, ca asa e la institutiile publice. Instantele au beneficiat de ajutorul DNSC, ca ulterior sa se trezeasca ca pentru ca n-au implementat un fix serios, nu s-a rezolvat nimic. Daca n-as fi avut conversatii cu response team-ul de la DNSC, daca n-as fi stiut cum opereaza institutiile astea, n-as fi abordat ruta pe care am mers. Desi am mers hail mary, am mers cu cap si drept dovada s-a rezolvat problema fara sa apara altii, desi unele erau accesibile direct din UI. 5. Functionarii au dat share intre ei. S-au adunat 120 de vizionari ca probabil ca cu aia s-au certat ei ca aplicatia nu merge, cu Telekom. Cand dai 30MIL EUR pe un proiect, si vezi mizerii de genul, crede-ma ca dai share pana te faci auzit. Iar daca alea 120 de view-uri sunt de la terti neautorizati, atunci cineva s-a facut responsabil de divulgarea problemei mai departe si a incalcat legea privind secretul de serviciu. Si atunci si-au luat-o ei naspa, ca e infractiune. --- Daca vrei, putem face o discutie si pe incadrarea juridica, dar nu intra sub nici o forma pe textele de incriminare de la 360-365 cod penal, nici pe frauda informatica. Intra pe grava neglijenta la cine a pus platforma in functiune, dat fiind faptul ca un utilizator obisnuit, chiar fara nici un program specializat, avea acces la date.
![[Ghid] Cum sa identifici daca ai fost victima breselor instantelor](http://i.ytimg.com/vi/iFLmdbrI3nk/mqdefault.jpg)
404? gata?
Am rezolvat, pe engleza era pus un link de draft.
Articolul a fost publicat.
404
404
Dc nu merge sa imi sterg firma la noua platforma
Nu inteleg de ce ai abordarea asta, ca le-ai dat timp ca etc.
Daca divulgi o vulnerabilitate valida faci puscarie.
Chiar si testarea e infractiune, in majoritatea jurisdictiilor, nu stiu cum e reglementata in Romania.
Au mai gasit si alti cercetatori cate un IDOR fara rate limiting pe la ANAF sau aiurea dar au facut CVD ca la carte si au publicat la final sau unii nu au publicat deloc.
In contextul in care s-au soluționat nu văd problema sa le divulg. Ne asumăm răspunderea pentru riscurile juridice
Am trecut prin procesul de CVD. Faptul că public fara să îmi confirme este pentru că acum este momentul in care trebuie lumea sa fie informată. După uita și nu se iau măsuri, și se repeta problema.
A trecut o săptămână, au oprit platforma, au reparat, au repornit. In continuare platforma merge prost. Eu nu voi sta 2 ani până va merge bine pentru că risc daca amân sa nu meargă niciodată. Pe cale de concluzie, fac public.
---
Ca încadrare, nu intra pe penal pe infr obținute. Te gândești la chestii complicate, la pentesturi reale. Nu atât de bine îs gândite platformele sa trebuiască să te chinui să găsești probleme.
@@incorpo_ro cam intra, cand ai urcat datele pe YT, chiar si filmulet privat. Practic toti care au avut linkul au vazut datele cetatenilor. Nu e mare chestie dar nu cred ca e firesc. Trebuia sa trimiti doar la DNSC dovada (Proof of Concept), nu sa stie toti functionarii detaliile bugului. Sau cel.putin asta reiese din filmuletul asta, ca ai date din analytics ca xyz deviceuri au accesat filmuletul ala.
@howtocyberwar esti cam prost.
De ce nu ai raportat doar catre DNSC, de ce sa stie functionarii din 4 institutii cum sa descarce datele respective?
Pentru că am mai raportat doar la DNSC și nu s-au luat celelalte măsuri impuse de lege. Notificare victime, măsuri organizatorice etc. DNSC închide gaura. Nu se asigura că nu mai apare iar.
Problema sistemică se rezolvă prin a te asigura că răspund cei care sunt culpabili și nu se mai întâmplă în viitor.
Știi vreo amenda NIS pt problemele care apar zilnic? Fraierii ca cei ca mine au doar un timp limitat sa identifice și să ia măsuri sa se rezolve problemele.
@@incorpo_ro @incorporo7024 Pai si crezi ca e normal ca pana sa rezolvi bugul sa dai acces tuturor functionarilor la datele respective? Si la ceea ce presupun ca a fost un IDOR care le permite unor functionari care nu ar avea acces la datele respective sa .. acceseze datele? Ce vreau eu sa spun e ca indiferent de indolenta autoritatilor, nu te transformi in problema. Asta daca lucrezi pe curat cu nume si prenume. Altfel o dai anonima si aia ei, reactioneaza prompt dar ai facut pagube aiurea.
@@howtocyberwar Hai sa le luam pe rand, pentru ca mi se pare ca te-ai dezinformat singur cu speculatia si ai ajuns la concluzii proaste.
1. Legislatia nu impune obligatia de raportare, dar daca esti un actor white hat, prima oara notifici DNSC, prin sistemul de CVD, cum am facut, impreuna cu autoritatea vulnerabila. Pentru ca institutiile publice sunt indolente mai ales ca functionarul nu e afectat de brese cat timp nu sunt datele lui si nu ii e teama de o sanctiune, o solutie buna sa grabesti raspunsul este ulterior sa trimiti la sefi respectiv alte institutii de forta care pot amenda institutia in culpa. De aceea, trimiti la Ministerul Justitiei (sefii lor) si la ANSPDCP (cei cu protectia datelor). Cand discutam de o platforma traversata de zeci de mii de oameni zilnic, eu cred ca prin faptul ca s-a redus timpul de raspuns la cateva ore de la o zi, deja inseamna cu mii mai putine request-uri si exploatari in the wild a problemelor.
2. Intr-adevar, a fost, printre ele si o vulnerabilitate IDOR. Vulnerabilitate care a fost raportata exclusiv la nivel teoretic, au incercat sa o rezolve, au lansat platforma peste cateva ore cu IDOR-ul nerezolvat. Acum nu mai accesai doar ruta, foloseai API endpoint-ul. Ei au scos butonul din FE. Deabea dupa ce am vazut asta, am facut un videoclip prin care am condamnat raspunsul si deabea atunci au inchis platforma. Cand ameninti institutiile publice ca ii dai in gat daca musamalizeaza, atunci primesti raspunsuri rapide. Drept dovada, platforma a stat inchisa doua zile, timp in care s-au rezolvat problemele. Problemele erau in mare parte rezolvate luni seara, iar eu am asteptat pana astazi sa notific ca exista.
3. Functionarii aia care tu zici ca n-aveau voie, aveau. ANSPDCP e organ constatator pentru brese de date, MJ e superior direct si au voie sa vadaa informatii secret de serviciu de la cei din subordine. Daca ai fi lucrat cu institutiile de forta in Romania (DIICOT, ministere, etc) ai vedea cat de grasa este incompetenta. Uneori chiar este nevoie sa le dai chestii tangibile, pentru ca daca ii iei cu teoria, isi iau shut-down. Intr-adevar, se rezolva pe moment pentru ca intervin fostii membri ai serviciilor acum in retragere la DNSC, care sunt competenti si operativi. Dar ei nu au atributii sa urecheasca institutiile publice ca dau banii aiurea, nici sa comunice victimelor problema si mai ales sa faca ghiduri pentru victime. Ok, poate ca au vazut ca datele se pot obtine fara a merge prin parghiile standard, dar clar datele alea erau ceva ce ei puteau vedea, si mai mult, erau responsabili de anumite aspecte ale solutionarii problemelor.
Sa iti dau un exemplu punctual, deja de 6 luni ma lupt cu ICCJ sa respecte legislatia privind sigiliile electronice. Folosesc SHA-1. Poti falsifica un act ca fiind sigilat de ICCJ pe 15k dolari. Am reclamat si ras-reclamat. Vrei sa vezi ce muie mi-am luat de la ADR si ceilalti experti din domeniu cu validarile din PDF cu Adobe Acrobat Reader program de expertiza tehnica? :)))))))))
Nu le pasa pana nu ii doare.
4. Nu stiu daca ai mai identificat si raportat probleme in Romania cu privire la diverse vulnerabilitati. 2 ani de zile, se puteau publica clandestin legi in Monitorul Oficial. Problema cat se poate de severa. Am contactat RAMO care imi propunea sa vin la licitatie, ca ei au inteles "ca imi fac reclama". Am comunicat un an de zile mai tarziu DNSC-ul, etc, iar, cu aceleasi probleme. Nu s-au rezolvat. Acum vreo 5-6 luni am primit un mail ca au suferit o bresa de date. Am verificat, era rezolvata problema. Concluzia? N-am fost singurul nebun care a gasit ce aveau ei pe acolo. Tine cont ca eu nu caut asa vulnerabilitati ca n-am ce face. Lucrez in lawtech, am nevoie de un serviciu, nu merge sa il folosesc si fac debugging. SI mai gasesc o galusca, doua, trei, 10, ca asa e la institutiile publice. Instantele au beneficiat de ajutorul DNSC, ca ulterior sa se trezeasca ca pentru ca n-au implementat un fix serios, nu s-a rezolvat nimic.
Daca n-as fi avut conversatii cu response team-ul de la DNSC, daca n-as fi stiut cum opereaza institutiile astea, n-as fi abordat ruta pe care am mers. Desi am mers hail mary, am mers cu cap si drept dovada s-a rezolvat problema fara sa apara altii, desi unele erau accesibile direct din UI.
5. Functionarii au dat share intre ei. S-au adunat 120 de vizionari ca probabil ca cu aia s-au certat ei ca aplicatia nu merge, cu Telekom. Cand dai 30MIL EUR pe un proiect, si vezi mizerii de genul, crede-ma ca dai share pana te faci auzit. Iar daca alea 120 de view-uri sunt de la terti neautorizati, atunci cineva s-a facut responsabil de divulgarea problemei mai departe si a incalcat legea privind secretul de serviciu. Si atunci si-au luat-o ei naspa, ca e infractiune.
---
Daca vrei, putem face o discutie si pe incadrarea juridica, dar nu intra sub nici o forma pe textele de incriminare de la 360-365 cod penal, nici pe frauda informatica. Intra pe grava neglijenta la cine a pus platforma in functiune, dat fiind faptul ca un utilizator obisnuit, chiar fara nici un program specializat, avea acces la date.
@howtocyberwar stergi comentariu, javra?
@@99things45 lucrezi la institutiile respective? Te bucuri ca va fac altii treaba?