【悲報】脆弱性を見つけたはずが…感謝の代わりに「弁護士」が登場した件

良かれと思って脆弱性を発見・報告したのに、感謝されるどころか法的措置（弁護士）で返答されてしまったという、セキュリティエンジニアにとっては悪夢のようなエピソードです。善意の報告が裏目に出てしまう、業界の厳しい現実が伝わってきます。

「その代わり、データ削除を証明する修正済みの申告書への署名を提案した。個人のデータを保持する気なんてさらさらなかったけど、開示プロセスそのものについて口を閉ざすことには同意するつもりはなかった。」

そもそも、なんで署名なんてする必要があるの？その会社、明らかに協力する気なんてなくて、あんたを支配しようとしてただけでしょ。

これってDivers Alert Network (DAN) Europeと、その保険子会社のIDA Insurance Limitedのこと？

著者が問題の組織名を出すのを明らかに怖がってるってことは、法的脅迫が完璧に効いちゃったみたいだね。

「ポータルは連番のユーザーIDを使っていた」
「全アカウントに固定のデフォルトパスワードが割り振られていた」

へへへ。俺なんてこれよりずっと軽いミスで数え切れないほど面接落ちてきたんだけどな。それなのに、もっとひどいミスをする奴が採用されて、実際の個人のデータを扱う本番システムにこういうのが山ほど転がってるなんてね。

こっちが善意で動いてるのに相手にその気がないなら、それは生産的な議論や交渉じゃなくて、ただの時間の無駄だよ。

唯一のまともなやり方は、最初のメールや脅しが来た時点ですべての連絡を絶つことだった。あんたがマルタ共和国とそのオンラインセキュリティを心配してあげなくても、国はなんとでもなるでしょ。

専門家じゃないけど、3つ思ったこと。

1. 法的な開示のハードルを上げすぎると、結局犯罪者経由でしか情報を得られなくなる。

2. もし他の業界がこんな感じだったら、超高層ビルの欠陥を見つけた建築家を訴えられるってことになるよね。違いは、基礎が悪いっていう知識自体はビルを倒壊させやすくしないけど、サイバー脆弱性の知識はそれ自体がリスクになるって点。

3. 通りすがりの人によるランダムな監査に頼るのはあまりに無計画すぎる。ウェブサイトが俺の本物の個人情報を要求できるなら、こっちもその情報の安全性を要求できるべき。対象となる業界を全部は挙げられないけど、保険会社は絶対サイバー監査を義務付けるべきだし、法律はホワイトハッカーを弁護士から守って全ユーザーがクラスアクションを起こせるようにすべき。そうなればインセンティブが変わって、初歩的な脆弱性は消えて、弁護士を雇うよりソフトウェアエンジニアを雇うほうが安上がりになるはず。

俺はサービスごとに違うメールアドレスを使ってる。15年くらい前、diversalertnetwork用のアドレスにスパムが届き始めたんだ。DANに「漏洩してるよ」ってメールしたら、パスワードの変更方法を教える返信が来た。

刑事訴追されなかっただけでもラッキーと思わなきゃいけないのかもね。

こういう状況の結末って、最初のメールが組織内でどう回されるかにかかってる気がする。最初に弁護士に渡れば、法律を振りかざして解決しようとする奴が出てくる。エンジニアに渡れば、エンジニアリングで解決しようとする奴が出てくる。俺だったら、少なくとも最初の連絡で第三者の規制機関を巻き込むのは避けたかな。

去年、ある大規模な年次イベントのチケットシステムに、他のユーザーのチケットをダウンロードできちゃう脆弱性を見つけたんだ。

チケットを買ったらメールでリンクが届いたんだけど、URLは example.com/tickets/[文字列] みたいになってた。その文字列は注文番号をBase64にしただけで、注文番号はもちろん連番。

主催者とシステムを作った会社にメールしたんだけど、すぐに修正してくれた……なんてのは冗談。今でもガバガバのままだし、返事も一切なし。今年の開催を待ってるところ。今度こそ直ってるといいんだけど。

ユーザーIDが連番で、全員にデフォルトパスワード——つまり、本当の脆弱性は「そもそもこの会社に報告する価値のあるセキュリティ体制がある」と思い込んでたことだね。

今の時代、「責任ある開示」なんて、公にする前に会社側が弁護士を雇うための猶予を与えてるだけだよ。