Bliv gratis medlem
|
Hej, Jeg er reseller hos et firma. Jeg opdagede efter lidt nysgerrighed at efter jeg logger ind i systemet findes der en funktion som gør jeg kan flytte min kunde over til en anden kunde under en anden reseller. Dette sker via dropdown menuer. Jeg valgte så at se kildekoden, og kunne nu trække en liste i HTML over samtlige 13000 kuner, alle 350 partnere i simpelt HTML format. Ikke nok med det, når jeg så tog bruger ID for en bestemt kunde og skiftede ud med min egen kundes i administrations interface så kunne jeg både se redigere og slette kunden selvom jeg egentlig ikke burde kunne. Dette er jo en alvorlig sikkerhedsbrist. Hvordan takler man denne situation bedst. Jeg synes det var meget sjovt men på en måde også MEGET skræmmende at et så stort firma slet ikke har tjekket selv den mindste sikkerhed - jeg er på ingen måde programmør men har blot kendskab til en browser og dets funktioner samt lidt basic HTML. Jeg kunne jo ringe og sige det, ja hvad ville jeg få ud af det. tak - en skideballe fordi jeg har været nysgerrig? En tak og 2 flasker rødvin ? Eller jeg kunne fortælle dem hvad min timepris er for at finde deres fatale fejl.
|
Alt efter hvordan de tager det kan du risikere alt lige fra en stor tak, en palle rødvin eller i den helt anden grøft, en politianmeldelse for indtrængen i deres systemer (du har jo med data du ikke bør have med at gøre når du finder andres kunder i deres system)
Jeg ville vælge at ringe til dem og nævne problemstillingen for dem, og så stille og roligt tage den derfra.
Hvis du fortæller dem at du skal have XXX kroner for at have fundet fejlen er du ude hvor du ikke kan bunde i forhold til straffelovens paragraffer om afpresning, så det kan ikke just anbefales at være fremgangsmåden.
Opret bruger