Poważna luka w systemie i bezpieczeństwo danych osobowych - Forum Prawne

 

Poważna luka w systemie i bezpieczeństwo danych osobowych

Witam, Zakładając że znalazłem krytyczną lukę w serwisie internetowym pewnej sieci telekomunikacyjnej, która umożliwia mi mn. pełen dostęp do danych osobowych (mn. nr dowodu osobistego, PESEL), pełną kontrolę nad numerem telefonu, sprawdzanie ostatnich połączeń etc. ...



Wróć   Forum Prawne > Pomoc prawna z zakresu prawa publicznego > Prawo gospodarcze


Odpowiedz
 
05-01-2012, 15:21  
Bartonek
Początkujący
 
Posty: 6
Domyślnie Poważna luka w systemie i bezpieczeństwo danych osobowych

Witam,

Zakładając że znalazłem krytyczną lukę w serwisie internetowym pewnej sieci telekomunikacyjnej, która umożliwia mi mn. pełen dostęp do danych osobowych (mn. nr dowodu osobistego, PESEL), pełną kontrolę nad numerem telefonu, sprawdzanie ostatnich połączeń etc. innych numerów - czy jestem prawnie zobowiązany do zgłoszenia tego danej sieci? Czy mogę oczekiwać jakiejś nagrody w zamian za wskazanie błędu, a jeśli spotkam się z odmową to przekazać sprawę do gazety za wynagrodzeniem (czy nie byłoby to wyłudzenie)? Co zrobić w takiej sytuacji, najlepiej żeby wyjść z tej sprawy z jakimś profitem i zgodnie z prawem?

Pozdrawiam.
Bartonek jest off-line  
13-01-2015, 11:03  
alan2
Początkujący
 
Posty: 5
Domyślnie RE: Poważna luka w systemie i bezpieczeństwo danych osobowych

Moim zdaniem możesz jedynie zgłosić tę lukę, ale kwestia ewentualnej nagrody zależy tylko od woli administratora portalu. I raczej nie liczyłbym na nic spektakularnego. Możesz oczywiście też nie zgłaszać niczego, udać, że nie wiesz, ale nie wiem, czy to miałoby jakikolwiek sens. Do gazety też zawsze możesz się udać, to już zależy od ciebie.
Bezpieczeństwo danych osobowych jest domeną osób, które tymi danymi zarządzają, przynajmniej tego nauczyłem się na szkoleniu z Coach inc., więc prawnie nie jesteś zobligowany do zgłoszenia nieprawidłowości, jeśli to do ciebie nie należy. Pomyśl jednak, że w razie czego, gdyby ktoś się do tej bazy włamał, to poszkodowana będzie nie tylko firma, której być może się należy, ale przede wszystkim jej klienci, czyli de facto niewinni ludzie.
alan2 jest off-line  
16-01-2015, 15:10  
DemPlays
Użytkownik
 
Posty: 279
Domyślnie RE: Poważna luka w systemie i bezpieczeństwo danych osobowych

nie jesteś zobligowany do zgłoszenia, ale z doświadczenia powiem Ci, że jeśli zgłosisz takiego buga firmie, którą prowadzi jakiś typowy Janusz to sobie sam narobisz problemów, bo uzyskałeś nieautoryzowany dostęp do ich systemu. duże spółki jak np facebook zachęcają do znajdywania bugów i zgłaszania ich, a w zamian wypłacają nagrody, bo takie działanie się im opłaca zwiększając bezpieczeństwo. na naszym rynku za wykonanie takiego nieautoryzowanego pentestu możesz zostać straszony policją i innymi nieprzyjemnościami, jeśli firma nie prowadzi ogólnie przyjaznej polityki w tym zakresie.

jak chcesz wyjść z profitem to się skontaktuj w bezpieczny sposób z firmą i powiedz co jesteś w stanie zrobić. jak nie będą zainteresowani to nawet nie myśl, jak kolega wyżej sugeruje, o 'niewinnych ludziach', tylko wrzuć opis luki do sieci i ciesz się jak niedługo tv poda, że 'hakerzy wykradli miliony danych'. takie postępowanie zwróci uwagę firmy jak i wielu innych o dbanie o bezpieczeństwo i się drugim razem zastanowią czy lepiej przyjąć ofertę od uczciwej osoby, czy może pozwolić niech podatność systemu będzie wykorzystywana do innych celów przez tych złych.

jak firma jednak będzie zainteresowana to podpisz z nimi umowę na wykonanie testu, gdzie udzielą ci zgody na 'zhackowanie' ich systemu po czym wykonaj dla nich notatkę (żeby ich bezpiecznik mógł sobie odtworzyć postępowanie) i ew. opisz w jaki sposób naprawić problem, bo rozumiem, że przeprowadzasz atak jakiegoś typu na ich aplikację webową, którego efektem jest dostęp do tabel sqla.
DemPlays jest off-line  
Odpowiedz

Podobne wątki na Forum Prawnym
Wątek
§ ochrona danych osobowych a bezpieczeństwo publiczne (odpowiedzi: 1) Witam, mam pytanie: Policjant udaje się do urzędu w celu uzyskania informacji do kogo należy dana nieruchomość, konkretnie garaż (własność prywatna)....
§ Bezpieczeństwo OLX (odpowiedzi: 2) Witam, chcę sprzedać coś na OLX. Jak to wygląda od strony prawnej? Załóżmy, że będzie to wysyłka. Mam podać numer konta i po otrzymaniu wysłać...
§ Bezpieczeństwo świadka. (odpowiedzi: 17) witam, czy w związku z nową ustawą o ochronie świadka i pokrzywdzonego świadkowie rzeczywiście mogą czuć się bezpiecznie? Czy na wszystkich...
§ Usunięcie danych osobowych z forum - ochrona danych osobowych (odpowiedzi: 2) Witam, swojego czasu założyłam konto na jednym z forów. Kiedy je założyłam - można było edytować wpisy, a po ok1,5 roku to zmieniono. W każdym...
§ Bezpieczeństwo moich danych osobowych (odpowiedzi: 1) Witam, jakieś czas temu za poleceniem znajomego spotkałem się z przectawicielem firmy która zajmuje się sprzedarzą i dystrubucją perfum,...
§ bezpieczeństwo w AŚ (odpowiedzi: 8) Syn został tymczasowo aresztowany. Złozył zeznania w których przyznał sie do zarzucanego czynu, wskazał równiez osobę która brała udział w zdarzeniu...


Czasy w strefie GMT +1. Teraz jest 11:48.