公布就公布啊,
资安公司已经免费帮公司网站诊断了,还找出了问题和漏洞,
既然该公司不想理会,公布也是刚刚好而已!举一个例子~
如果你在网络银行交易转帐,该资安公司多次提醒该银行的付款交易系统
有漏洞需要尽快修复,不然使用者信用卡和客户资料,很容易外泄,
但是该银行就是对资安公司多次的警告置之不理,最后发生问题怎么办?
所以该要检讨的是银行,根本不是资安公司!
而且资安公司说要公布漏洞,根本佛心,知道漏洞在哪里,才有办法补洞,
不然脸书、LINE干嘛要发奖金给这些发现漏洞的人!
不然资安公司说我知道你的网站有漏洞,但我也不跟你说,这样有比较好吗?
其实任何系统网站都有漏洞,真正有价值的就是知道洞在哪里?就像苹果手机越狱,
但每次更新之后,苹果把洞补起来就不能越狱了。骇客就要找新的漏洞!
张先生抓到了LINE和脸书的漏洞获得这两家公司的感谢,而且还给予实质的奖金,
反观台铁
台铁的订票系统本来就有问题了,现在刚好要过年一堆人返乡定不到车票,
然后黄牛手中要转卖的票一大堆!所以这没有问题吗?这不用处理吗?
张先生好心跟台铁说订票有漏洞,马上就被台铁告上法院~然后乡民拍手叫好 呵呵~
所以下面的推文说的真好,解决不了问题,那就解决提出问题的人~
※ 引述《boss88893 (自由人)》之铭言:
: 台湾有家公司专门去找公司网站漏洞,然后会发e-mail到公司,告诉你
: 你的网站有漏洞,如果你不处理,就会把漏洞公布在网络上,让大家知道
: 然后他们还会在网站上介绍,他们公司有做防漏洞的服务
: https://zeroday.hitcon.org/vulnerability/all
: 今天你逛街时,看到大安区有户住家大门锁坏了,然后说限屋主快处理不然要公布街坊
: 邻居都知道? 搞不好小偷也通知?
: 不知道这样行为是否合理?
: 我是觉得,你发现人家大门没关坏了,应该打110或跟屋主说就好,
: 怎么会是反过来说不处理就公布? 让全世界都知道你家门坏了没锁?
: 查了一下,这公司还蛮多报导,感觉很正义? 实际上 道德?
: https://www.bnext.com.tw/article/47673/cycarrier
: 我是觉得发现安全问题通知当事人就好,但不要上网公布,因为你上网公布不就等于
: 恐吓? 然后再说欢迎买我们服务?
: 反正从头到尾就是一直叫你跟他们公司联络,并说可升级VIP帐号
: 以下真人真事
: ====================================================================
: 我们是 HITCON ZeroDay 漏洞通报平台,为社团法人台湾骇客协会所筹组之公益计画
: ,协助企业进行资安漏洞之通报。
: 漏洞 XXXXX 已公开于以下网址:
: 漏洞公开网址:https://zeroday.hitcon.org
: 若对该漏洞有任何问题欢迎于漏洞页面留言或直接与我们联系。
: 感谢您于此次通报处理期间的配合。
: HITCON ZeroDay 团队
: 基于平台之规范,一定时间后漏洞详细内容便会公开,提醒您尽快修补。
: 若贵单位希望可以更快速直接的接收漏洞及与通报者沟通,欢迎免费升级
: ZeroDay 企业帐号 https://zeroday.hitcon.org/about/vp
: ZeroDay 的通报及复检等服务均无需费用,故若您仍有其他疑问,都欢迎随时与
: 我们连络。