[SOLUCIONADO] Brecha de datos detectada ¿Y ahora que?

Hola!
Este es mi primer mensaje en este foro, así que me disculpo si este no es el hilo, temática o estilo correctos... Soy profesional del sector TI desde hace más de 10 años desarrollando tareas de consultor especialista y 'curioso' de la seguridad informática.

El tema es que hace unos días, he detectado una brecha de datos en una gran empresa nacional que está exponiendo información personal de todos sus clientes con una transacción en curso. Hablamos de cientos de miles de potenciales afectados.

Mi duda es...¿Ahora que hago? Es decir, mi trabajo es ser consultor informático, por lo tanto, me parecería justo recibir una compensación por el trabajo realizado, pero veo complejo que solicitarle esto a la empresa no se tome como una extorsión. Por otro lado, me enfrentaría posibles represalias por parte de la empresa...

La alternativa es reportarlo a la AEPD, pero no veo que den ninguna clase de recompensa.

Podría haber otras alternativas menos éticas, como por ejemplo, 'vender' la vulnerabilidad a alguna empresa nacional, 'vender' la vulnerabilidad a alguna empresa de seguridad... No se, se me ha pasado un poco de todo por la cabeza.

¿Cómo lo veis?¿Qué se os ocurre?

Hola @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, lo que le voy a decir sólo es una opinión y pienso que deberia escuchar una opinión de alguien que sea profesional y tenga más experiencia que yo.

Estamos en un problema, sí la empresa no realiza ninguna recompensa por estos actos, ufff... yo le diria que trate de hablar con alguien que sea de mucha confianza (especialmente sí está en su mismo sector o si hablan el mismo lenguaje, por así decirlo) sobre la vulnerabilidad, aunque siguiendo algo un poco más de fantasia y de hollywood, podria hablar con un colega (igualmente de confianza) para que hagan programas cómo los de grandes empresas cómo 'Facebook', pero finjan que no ha pasado nada y ¡pum!, de repente usted consigue la vulnerabilidad por "casualidad" y recibe su recompensa.

Son ideas locas, pero espero que alguien en el foro con experiencia lo ayude 

~ DtxdF

Es profesional del sector hace 10 años, y como consultor. Y no sabe qué hacer...

Si ha detectado una brecha en una compañía, y realmente es un profesional del sector, realizando un informe sobre las características generales de la brecha, y los riesgos que le avalan, ya debe hacer valer su precio.

Si teme a que la compañía no le corresponda en el pago, por "X" razón, pudiendo contratar a otros servicios profesionales que le cubran tal riesgo, debe tomar providencias al respecto anticipándose al evento. Si realmente es un profesional sabría cómo hacerlo.

Eso sí, tenga en cuenta que de manipular la vulnerabilidad, la compañía puede hacer una auditoría informática, y relacionar su presencia física con el acceso a dicha vulnerabilidad, demandándole o acusándole. Otro tanto es lo que haga la competencia a la cual le venda los datos, o explote la vulnerabilidad, pues no pensarán en la salvaguarda de su persona.

Estas cosas se suelen arreglar con una inteligente negociación entre las partes involucradas: Ud. y los CEO´s de la compañía. Se ahorran muchos dolores de cabeza según dicta la experiencia.

Por supuesto que Ud. decidirá según sus intereses y motivaciones. También tenga en cuenta, que obligatoriamente será consecuente con su actuar.

Si estás seguro, -a de que tu integridad no corre ningún riesgo después ese punto (que se conozcan datos tuyos) y lo que te interesa es la pasta. Deberías llegar más allá que una simple brecha de datos, después de todo debes estar seguro que sea 100% integro los datos y confiables como para comprometer la seguridad de la empresa por dinero.
Y si estás desesperado por pasta, puedes venderlo en algunos foros hacker de la red Onion quizá algunos les interese.

Bueno ahora sí, me pongo serio para ésto.

Ignore mi comentario, porque sólo estaba jugando con usted.

Lo que si debe escuchar, es que no sea idiota, no venda esos datos a una red "anónima", porque si la empresa lo desea empezará una investigación y dará con usted sí o sí.

El dinero va y viene, si tienes ese dinero de mala manera, seguro, te sentirás fenomenal (al principio), pero te deseo suerte (cosa que no está en mi vocabulario, porque no creo en ella) para no pensar en cada segundo en lo que hiciste y seguro, harás otra vez, porque esa sensación de adrenalina es irrepetible.

Lo más probable es que usted lector o quien sea que haya leído lo anterior, piensa que estoy exagerando, pero para el que lo tome en cuenta, muchas gracias.

Lo que si apoyo es que si desea hacer un acto bueno por una empresa que lo acepto, así esté lucrando con usted, porque de algo le es de utilidad su presencia ahí, dígale con toda confianza al personal encargado de todo eso, que de seguro conseguirá respeta y un poco de privilegios.

Le deseo suerte (ya sabe lo que pienso de ella) en su decisión y lo más importante, no la cag**.

~ DtxdF

Yo apenas me estoy iniciando en este mundo, y la verdad creo que la respuesta es sencilla, o vendes la vulnerabilidad por mas de 200.000 euros en Monero, o no te metas en lios y reporta la vulnerabilidad y se recompensado, yo haría lo segundo, pero si crees que no te van a pagar ni un centavo cubrete las espaldas y suerte.

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como bien lo señalan otros compañeros, esto es solo una opinión más.

Conozco caso que la persona que encontró una brecha empresarial, cuando comunicó a la empresa afectada, no solo no le dieron recompensa alguna, sino que lo denunciaron por intrusión no autorizada.

En cuanto a vender la vulnerabilidad en la Deep Web, no me parece buen negocio. Te pagan una miseria y siempre corres los riesgos que te veas involucrado en problemas legales. No haría ese tipo de transacción en la Deep web porque, en realidad, tu hiciste el trabajo y otros se beneficiarían.

Comparto lo que te dice @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta:

CitarEstas cosas se suelen arreglar con una inteligente negociación entre las partes involucradas: Ud. y los CEO´s de la compañía.

Pero tomando muchas precauciones con tu identidad, guardando charlas, etc.

Ahora si no quieren recompensarte, lo que haría yo es sacarla a luz (también con precauciones) que alguien se las explote por miserables.


Por otra parte:

Citarvendes la vulnerabilidad por mas de 200.000 euros en Monero

Me parece darte una falsa expectativa y un precio que no pagarán, esta fuera de lo razonable y del sentido común a lo que se lee de precios por temas como al que has expuesto. Ejemplo: un hospital (creo que de Alicante, no recuerdo bien) pagó por los datos de historias clínicas de sus pacientes (15.000 dls). Si bien fue un caso de  infección por ransomware, en definitiva , se trataba de proteger información sensible de los pacientes, también cientos de miles de potenciales afectados y más que la información personal, todos los historiales de salud, tratamientos, análisis, estudios médicos, que a todas luces parece de extremada importancia al involucrar nada menos que la salud y no solamente la intimidad.

Saludos
Gabriela

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ciertamente es una expectativa falsa, pero si vas a correr el riesgo, que sea lo maximo posible que puedas sacar para cubrirte las espaldas, si no, no merece la pena, aunque yo estoy de acuerdo con lo de sacarlo a la luz.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ciertamente es una expectativa falsa, pero si vas a correr el riesgo, que sea lo maximo posible que puedas sacar para cubrirte las espaldas, si no, no merece la pena, aunque yo estoy de acuerdo con lo de sacarlo a la luz.

Es que si siguiese lo que opina AXCESS y que yo cito, no puede ir con esa expectativa ni con esa pretensión. Siempre con algo más, para poder bajarla, pero no que bordee la exageración (por no usar otro término más duro), si va a negociar tiene que ir con una propuesta razonable que los lleve a pagar a los dueños de la empresa.

Las precauciones deberá tomarlas igual. También está todo el tema de como instrumentar el pago en caso que la empresa negocie, no sea que le pillen la información y si te he visto no me acuerdo.

En fin, no es sencillo cuando la vulnerabilidad no fue detectada por acuerdo de partes de una auditoría.

Saludos
Gabriela