公布就公布啊,
資安公司已經免費幫公司網站診斷了,還找出了問題和漏洞,
既然該公司不想理會,公布也是剛剛好而已!舉一個例子~
如果你在網路銀行交易轉帳,該資安公司多次提醒該銀行的付款交易系統
有漏洞需要盡快修復,不然使用者信用卡和客戶資料,很容易外洩,
但是該銀行就是對資安公司多次的警告置之不理,最後發生問題怎麼辦?
所以該要檢討的是銀行,根本不是資安公司!
而且資安公司說要公布漏洞,根本佛心,知道漏洞在哪裡,才有辦法補洞,
不然臉書、LINE幹嘛要發獎金給這些發現漏洞的人!
不然資安公司說我知道你的網站有漏洞,但我也不跟你說,這樣有比較好嗎?
其實任何系統網站都有漏洞,真正有價值的就是知道洞在哪裡?就像蘋果手機越獄,
但每次更新之後,蘋果把洞補起來就不能越獄了。駭客就要找新的漏洞!
張先生抓到了LINE和臉書的漏洞獲得這兩家公司的感謝,而且還給予實質的獎金,
反觀台鐵
台鐵的訂票系統本來就有問題了,現在剛好要過年一堆人返鄉定不到車票,
然後黃牛手中要轉賣的票一大堆!所以這沒有問題嗎?這不用處理嗎?
張先生好心跟台鐵說訂票有漏洞,馬上就被台鐵告上法院~然後鄉民拍手叫好 呵呵~
所以下面的推文說的真好,解決不了問題,那就解決提出問題的人~
※ 引述《boss88893 (自由人)》之銘言:
: 台灣有家公司專門去找公司網站漏洞,然後會發e-mail到公司,告訴你
: 你的網站有漏洞,如果你不處理,就會把漏洞公佈在網路上,讓大家知道
: 然後他們還會在網站上介紹,他們公司有做防漏洞的服務
: https://zeroday.hitcon.org/vulnerability/all
: 今天你逛街時,看到大安區有戶住家大門鎖壞了,然後說限屋主快處理不然要公佈街坊
: 鄰居都知道? 搞不好小偷也通知?
: 不知道這樣行為是否合理?
: 我是覺得,你發現人家大門沒關壞了,應該打110或跟屋主說就好,
: 怎麼會是反過來說不處理就公佈? 讓全世界都知道你家門壞了沒鎖?
: 查了一下,這公司還蠻多報導,感覺很正義? 實際上 道德?
: https://www.bnext.com.tw/article/47673/cycarrier
: 我是覺得發現安全問題通知當事人就好,但不要上網公佈,因為你上網公佈不就等於
: 恐嚇? 然後再說歡迎買我們服務?
: 反正從頭到尾就是一直叫你跟他們公司聯絡,並說可升級VIP帳號
: 以下真人真事
: ====================================================================
: 我們是 HITCON ZeroDay 漏洞通報平台,為社團法人台灣駭客協會所籌組之公益計畫
: ,協助企業進行資安漏洞之通報。
: 漏洞 XXXXX 已公開於以下網址:
: 漏洞公開網址:https://zeroday.hitcon.org
: 若對該漏洞有任何問題歡迎於漏洞頁面留言或直接與我們聯繫。
: 感謝您於此次通報處理期間的配合。
: HITCON ZeroDay 團隊
: 基於平台之規範,一定時間後漏洞詳細內容便會公開,提醒您盡快修補。
: 若貴單位希望可以更快速直接的接收漏洞及與通報者溝通,歡迎免費升級
: ZeroDay 企業帳號 https://zeroday.hitcon.org/about/vp
: ZeroDay 的通報及複檢等服務均無需費用,故若您仍有其他疑問,都歡迎隨時與
: 我們連絡。