一个乐于助人的市民,如果把在垃圾桶里发现的现金归还,可能会得到奖励,但他们不能保留赃物。然而,当放错地方的宝藏是数字的时候,故事看起来就不一样了。
拉斯维加斯是许多虚构银行抢劫案的发生地,但本周罪恶之城将举办黑帽安全会议。迪伦·埃雷,松露安全公司首席执行官,以及网络安全律师惠特尼·梅里尔,数据保护官和首席隐私顾问体式他向黑帽会议的与会者讲述了个人数据出错的故事,以及掌握这些数据的各种实体的故事,然后提出了将泄露可能性降至最低的方法。
该团队特别关注漏洞赏金程序.在这样一个程序中,一家大公司喜欢微软制定规则,授权合法的研究人员入侵他们的产品和服务,并奖励成功的黑客。这听起来有点可疑,但当白帽黑客发现并报告漏洞时,公司可以在漏洞被滥用之前修复它。
到底是什么问题?
“所以,在我们开始之前,”艾雷说,“如果你运行或参与过漏洞赏金计划,请举手。嗯,可能是一半的观众。至于没有举手的那一半人,你可能参与了,尽管你不知道。”
“我们为什么有资格谈论这个问题?艾雷接着说。“我是一名安全研究员和漏洞猎手。我联合创立了一家名为Truffle Security的公司,该公司基于一种名为TruffleHog的隐私技术。”
“嗨,我是惠特尼,”梅里尔说。“我是律师,但不是你的律师。我做了很多年的内部法律顾问。目前我在Asana支持我的团队。”
“漏洞赏金程序说,不要碰其他用户的数据,”Ayrey继续说。“只能用你自己的账户测试。不要让其他用户参与进来。这种语言很常见;很多项目都有。所以,这次谈话是关于漏洞赏金系统中的数据隐私,我们很好!我们已经告诉我们的黑客不要碰错误的数据。”
这时,他拿出一张写着“废话”的幻灯片,引起一阵笑声。"惠特妮,我不小心访问了个人信息。我能做些什么吗?我会有麻烦吗?”
两人开始了一段有趣的对话,就像任何黑客与有法律头脑的朋友之间的对话一样。他们证实,Ayrey的测试脚本是由一名不安全访问了大量账户的管理员触发的,该脚本旨在标记和截屏任何不安全呈现自己数据的尝试。他透露了访问权限,但赏金计划并没有要求他删除。在任何情况下,删除数据都很困难,因为数据到处都是:第三方脚本系统、AWS服务器上的副本、Gmail中的副本、他的硬盘驱动器、他的Time Machine备份以及错误跟踪系统。
他们接着澄清说,相关公司关闭了报告漏洞的票据,但没有说任何关于删除数据的事情。事实上,Ayrey发现他可以打开这张关闭的机票,并访问其中包含的所有个人数据。再往前看,他可以获取任何个人数据所有他的封票。其他昆虫猎人也证实了同样的经历。
这很难启齿
在这次简报中,Ayrey想提供一些具体的例子。“也许一些相关的公司会让我们谈谈他们,”Ayrey说。“一开始并没有起作用,但看,有更多的研究人员;也许我们会找到一些允许我们交谈的公司。这些请求大多被拒绝了。对于批准我们请求的少数人,一个巨大的呐喊!我们不会因为允许透明度而以任何方式羞辱他们。
Ayrey说:“在谷歌的一个例子中,一名员工正在用一个一次性程序处理数万条记录。“由于不安全的渲染,这些数据交给了我。我没有被要求删除它,我保留了访问权限,公司也没有披露。这就是几天前的故事。但在谷歌看到我演讲的早期副本后,两年后,他们开始改变内部流程,以确保数据被删除。”
Ayrey继续详细介绍了几个例子,其中包括优步和星巴克。在每个案例中,相关研究人员都没有被要求删除个人数据,而是在漏洞赏金系统中保留了对这些数据的访问权限。而相关公司从未披露过这一风险。
“关键是这些都不是一次性的,”Ayrey说。“这些事件真的很常见。每有一个我们可以公开分享的例子,就有一百个我们不能分享的例子。我们需要开始对话。”
他指出,目前的制度鼓励了获取个人信息。研究人员如果发现了一个影响更大的漏洞,就能得到更高的报酬,而暴露个人信息肯定会带来更高的影响。有时赏金计划甚至会要求提供影响的证据,再说一次,发布个人信息就是足够的证据。
研究人员、消费者和Bug追踪者的安全
“在某种程度上,你为什么要关心?美林说。“数据无处不在。我们能修好它吗?虽然不能做到完美,但我们可以循序渐进。
“让我们降低一些有毒废物的毒性,”她继续说道。“如果你设置漏洞赏金,你首先必须掌握基本原理。与你的法律团队合作。他们第一次听说你的漏洞赏金计划不应该是在你遇到问题的时候。
“研究人员,你们可以在迪伦概述的每一步上取得进展,”她指出。“使用第三方平台时,要注意哪些数据可能会转移到其他地方。能删的删,不能删的删。至于Gmail,这是一个显而易见的例子。这让我很震惊。不要把东西放在电子邮件里!删除邮件。更好的办法是把数据放在一个链接中,并分享这个链接,这样数据本身就不会出现在各种电子邮件系统中。”
道德黑客
即使采取了所有的预防措施,安全研究仍然是一个有风险的领域。“你会被起诉吗?”美林问道。这个问题没有明确的答案。在过去,美国计算机欺诈和滥用法案(在新窗口打开)被用来对付安全研究人员。漏洞赏金的运作理念是,黑客行为是被授权的,因此是CFAA允许的。和一个新的司法部备忘录(在新窗口打开)如果你的黑客行为是出于善意,司法部就不会起诉你。但这条线可能会变化。当人们互相生气时,法律问题就会发生。
“公司,是的,如果有潜在的危害,你必须通知,”她继续说。“确保数据不会持续存在。请研究人员以书面形式确认它已经消失了。研究人员说,他们不喷。不要到处散布数据。如果公司问你是否删除了它,如果不能,就说实话。漏洞跟踪平台,让你的客户有更多的控制权。使双因素研究人员访问您的系统必须进行身份验证。并明确你的隐私做法。”
“我们喜欢虫子奖金,我们喜欢让我们谈论我们的经验的公司。但是,如果我惹怒了一家公司,可能会被起诉吗?艾雷说。
美林总结说:“这就是我们将要着陆的地方。”
读到这里,你可能不是一个bug猎人。你不会有任何根据CFAA被起诉或因黑客行为被起诉的危险。但很高兴知道那些追踪漏洞的人开始把你的隐私放在心上了。通过这次演讲中提出的改变,那些试图保护你的私人信息的人不太可能会把它暴露出来。