Új hozzászólás Aktív témák
-
dqdb
nagyúr
A nyertest nem ismerem, de a T-Mobile Austria is eléggé erős versenyző volt a security by faith megközelítéssel
[ Szerkesztve ]
tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek
-
Te hol olvastad milangfx írásában, hogy az eset a GDPR életbe lépését követően, 2018.05.25 után történt?
Feltételezem, hogy nem önként törpként kereste a hibát a rendszeren, mert az hazánkban bűncselekmény. Ha meg valami keretében, akkor gondolom arra vagy kiírás volt, ahol leírták a szabályokat, vagy volt egy szerződés, aminek talán volt egy titoktartási nyilatkozat része is, ami leszabályozta, hogy mennyire ugrálhatott. Nem túl jó példa, de ha könyvelő vagy, s mondod az ügyfélnek, hogy adót csalt, és illene javítani az adóbevalláson, akkor ha 1 hónap múlva nem csinált semmit, akkor se nyomod fel a NAV-nak.A BKK-s botrányban pedig a srác tényleg nem volt egy szent. Amit vele tettek, az tényleg bicskanyitogató, nem kellett volna feljelenteni, a rendőrségnek így eljárni. Elhiszem, hogy a jó szándék vezérelte, s nagy tehetsége van hozzá, de érdemes lett volna, ha nem csak a hogyan hackeljük weblapot faq olvassa el, hanem, a hogyan jelezzük a bugokat faq is. Elvégre ha jó szándékú az ember, akkor azért próbálja meg hackelni a weblapot, hogy a hibát jelezhesse, szóval, ezért illene előbb azt elolvasni...
Viszont jó, hogy mondod, hogy ilyen esetben mielőtt az ember aláírná az etikus hackelésről szóló szerződést jelezze, hogy ácsi, gondok vannak, mert a GDPR is szabályozza, hogyha valamit találok, és az személyes adatot is érint, akkor azt nekem x napon belül az állam felé is jeleznem kell.
-
Írta, hogy 90 napot várt. Ez szerintem megfelel a "józan ész alapján tegyen bejelentést" elvnek. Általában ennyi idő után szokás a feltárt sérülékenységet nyilvánosságra hozni. Ő jelezte a hatóságoknak.
Én olyat olvastam, hogy az engedély nélküli hackelést az infotörvény bünteti. Ezért nem is csinálnám hobbi célból, csak, hogy megkereshessem a céget, hogy bénák vagytok, én meg ügyes. Ha nem vagyok kellően körültekintő és anonim, akkor egy ilyen bejelentés után teljesen törvényesen ugrálhatnak át a rendőrök hajnali 4kor a kerítésemen.
Igazad van, ne legyünk jóhiszeműek, hogy szerződés/felhívás alapján járt el, viszont írta, hogy szólt a govcertnek.
Viszont a Govcertes bejelentés is szó-szó. Most így elolvasva, ők
a magyarországi kommunikációs hálózat
állami/önkormányzati intézmények
állami/önkormányzati (rész)tulajdonú vállalatok
stratégiai fontosságú vállalatok
esetén illetékesekIlletve (önként) vállalták, hogy ezen a körön kívüli intézményekre vonatkozó biztonsági incidens bejelentéseket is fogadnak, és azt továbbítják az érintett szervezet felé. Az mondjuk érdekelne, hogy ki ez a szervezet?
pl. Nagymami Bt weblapja esetén a Nagymami Bt-nek szólnak ők is, vagy szólnak a rendőrségnek is, naih? Vagy NSA-hoz hasonlóan építik a tudásbázist, hogy kell betörni a Nagymami Bt weblapjára?Ha személyes adathoz nem lehet hozzáférni, akkor nem tudom, hogy egy ilyen bejelentés mit ér?
-
addikt
én meg nem feltételezem, hogy szerződés alapján végzett éles rendszeren biztonsági teszteket, majd az eredményt felnyomta a govcertnél.
Duh. Ha van szerzodes, akkor a reportot oda kuldod, akivel a szerzodest kototted.
Kb. olyan szitut kell elkepzelni, hogy rakeresel egy webshopban a " Levi's "-re, mert farmert szeretnel venni es az aposztrof kiakasztja az oldalt es dob egy sql error uzit. Sokszor nem kell kulon keresni; van, hogy teged talal meg a bug. -
Boccs, de te reflektáltál így a 45-ös hozzászólásodban:
"tobb mint 90 napot vartam mielott megkerestem a govcert-et.": ha 90 napig hagytad, hogy hozzáférjenek személyes adatokhoz, akkor te sokkal inkább bűnös vagy, mint a tini, akit fikázol. a govcertet azonnal megkereshetted volna, amikor kiderül a hiba, akár még a webhelyet üzemeltetők előtt.
remélem azóta olvastad a gdpr-t, amiben vannak erre határidők.
Én erre írtam, hogy nem valószínű, hogy másként is eljárhatott volna, mert valszeg szerződése volt, ami kizárta, hogy másnap feljelentést tegyen a govcertnél. Vagy ha megtette volna, és elterjed a híre, akkor nem nagyon kapott volna új megrendelést, mert talán amit a cégek jobban utálnak annál, ha hackerek vájkálnak az üzleti rendszerekben, az ha ezt egy hivatal teszi úgy, hogy még egy zaftos bírságot is hagy maga után.
[ Szerkesztve ]
Új hozzászólás Aktív témák
- AKCIÓ - TELEFONTOKOK, EGYÉB AUTÓS KIEGÉSZÍTŐK, FÜLHALLGATÓK
- Olympus M.ZUIKO DIGITAL 25mm f/1.8 objektív
- Xiaomi Redmi 9 64GB, Kártyafüggetlen, 1 Év Garanciával
- Dell Latitude E7450 Full i7-5600U, 16GB DDR3, 512GB SSD, FHD IPS, Nvidia, HUN Vil.Bill. Új
- Dell Latitude 7310 i7-10610U, 16GB DDR4, 512GB NVMe, FHD IPS Privacy, HUN Vil.Bill, NBD, Új Állapot