Un ciudadano servicial que devuelva un alijo de dinero en efectivo encontrado en la basura puede recibir una recompensa, pero no puede quedarse con el botín. Sin embargo, cuando el tesoro extraviado es digital, la historia se ve diferente.
Las Vegas es el hogar de muchos atracos bancarios ficticios, pero esta semana Sin City será la sede de la conferencia de seguridad Black Hat. Dylan Ayrey, director ejecutivo de Truffle Security, y la abogada de seguridad cibernética Whitney Merrill, oficial de protección de datos y asesora principal de privacidad de Asana, obsequiaron a los asistentes a la conferencia de Black Hat con historias de datos personales erróneos y las diversas entidades que llegaron a poseerlos, luego propusieron formas de minimizar la posibilidad de exposición.
El equipo se centró específicamente en los programas de recompensas por errores. En un programa de este tipo, una empresa importante como Microsoft establece reglas que autorizan a los investigadores legítimos a hackear sus productos y servicios, recompensando los hackeos exitosos con dinero en efectivo. Suena un poco dudoso, pero cuando los hackers de sombrero blanco encuentran e informan un error, la empresa puede solucionarlo antes de que se abuse de él.
¿Cuál es el problema?
“Entonces, antes de comenzar”, dijo Ayrey, “levante la mano si ejecuta un programa de recompensas por errores o ha participado en uno. Hmm, tal vez la mitad de la audiencia. Por la mitad que no levantó la mano, es posible que hayas participado aunque no lo sepas”.
“¿Por qué estamos calificados para hablar de esto?” continuó Ayrey. “Soy un investigador de seguridad y un cazador de errores. Cofundé una empresa llamada Truffle Security, basada en una tecnología de privacidad llamada TruffleHog”.
“Hola, soy Whitney”, dijo Merrill. “Soy abogado, pero no su abogado. He trabajado como abogado interno durante muchos años. Actualmente apoyo a mi equipo en Asana”.
“Los programas de recompensas por errores dicen que no toques los datos de otros usuarios”, continuó Ayrey. “Solo prueba con tu propia cuenta. No involucres a otros usuarios. Este lenguaje es común; está en muchos programas. Entonces, esta charla es sobre la privacidad de los datos en los sistemas de recompensas por errores, ¡estamos bien! Les hemos dicho a nuestros piratas informáticos que no toquen los datos incorrectos”.
En este punto, mostró una diapositiva con el texto «Mierda», provocando muchas risas. “Oye, Whitney, accedí accidentalmente a información personal. ¿Hay algo que pueda hacer? ¿Podría estar en problemas?
La pareja se lanzó a una divertida conversación con guión, muy parecida a la que cualquier hacker podría tener con un amigo legal. Establecieron que el script de prueba de Ayrey, diseñado para marcar y capturar cualquier intento de procesar sus propios datos de manera insegura, fue activado por un administrador que accedió a una gran cantidad de cuentas de manera insegura. Reveló el acceso, pero el programa de recompensas no le pidió que lo borrara. En cualquier caso, la eliminación podría ser difícil, ya que los datos están por todas partes: un sistema de secuencias de comandos de terceros, una copia en un servidor de AWS, la copia en Gmail, su disco duro, sus copias de seguridad de Time Machine y el error. sistema de seguimiento, al menos.
Continuaron aclarando que la empresa involucrada cerró el ticket informando el error, pero no dijo nada sobre la eliminación de los datos. De hecho, Ayrey descubrió que podía abrir el ticket cerrado y acceder a todos los datos personales incluidos. Mirando más allá, podría acceder a cualquier dato personal de todos sus boletos cerrados. Y otros cazadores de errores confirmaron la misma experiencia.
Es difícil hablar de
Para esta sesión informativa, Ayrey quería ofrecer ejemplos concretos. “Tal vez algunas de las empresas involucradas nos dejarían hablar sobre ellas”, dijo Ayrey. “Eso no funcionó al principio, pero mira, hay muchos más investigadores; tal vez encontremos algunas empresas que nos dejen hablar. La mayoría de estas solicitudes fueron denegadas. Para el pequeño número que aprobó nuestra solicitud, ¡un gran saludo! No los estamos avergonzando de ninguna manera por permitir la transparencia.
“En un ejemplo con Google, un empleado estaba trabajando en decenas de miles de registros con un programa único”, dijo Ayrey. “Debido a la representación insegura, esos datos van a mí. No se me pidió que lo borrara, conservé el acceso y la empresa no hizo ninguna divulgación. Esa era la historia hasta hace unos días. Pero después de que Google vio una copia temprana de mi charla, después de dos años están cambiando sus procesos internamente para garantizar que se eliminen los datos”.
Ayrey pasó a detallar varios ejemplos más que involucran, entre otros, a Uber y Starbucks. En todos los casos, no se le pidió al investigador involucrado que eliminara los datos personales y retuvo el acceso a ellos en el sistema de recompensas por errores. Y la compañía involucrada nunca reveló la exposición.
“La conclusión es que estos no son casos únicos”, dijo Ayrey. “Estos eventos son muy comunes. Por cada ejemplo que podemos compartir públicamente, hay cien que no podemos. Necesitamos iniciar una conversación”.
Señaló que el sistema actual incentiva la captura de información personal. Un investigador que revela un error con mayor impacto obtiene un pago más alto, y exponer información personal ciertamente tiene un mayor impacto. A veces, el programa de recompensas incluso solicitará una prueba del impacto y, nuevamente, la divulgación de información personal es una prueba suficiente.
Seguridad para investigadores, consumidores y rastreadores de errores
«En cierto modo, ¿por qué debería importarte?» dijo Merrill. “Los datos están en todas partes. ¿Podemos incluso llegar a arreglarlo? Bueno, no a la perfección, pero podemos dar pasos incrementales.
Recomendado por Nuestros Editores
“Hagamos que algunos de esos desechos tóxicos sean menos tóxicos”, continuó. “Si configura una recompensa por errores, primero debe tener los fundamentos. Trabaje con su equipo legal. La primera vez que se enteran de su programa de recompensas por errores no debería ser cuando usted tiene un problema.
“Investigadores, pueden progresar en cada paso que Dylan describió”, señaló. “Con plataformas de terceros, tenga en cuenta qué datos podrían terminar en otro lugar. Elimine lo que pueda y sepa dónde no. En cuanto a Gmail, esto es obvio. Es impactante para mí. ¡No ponga cosas en el correo electrónico! Eliminar el correo electrónico. Mejor, pegue los datos en un enlace y comparta el enlace, para que los datos en sí no estén en varios sistemas de correo electrónico”.
Hackeo ético
Incluso con todas las precauciones, la investigación de seguridad es un campo arriesgado. «¿Te demandarán?» preguntó Merrill. “No hay una respuesta clara. En el pasado, la Ley de Abuso y Fraude Informático de EE.(Se abre en una nueva ventana) se ha utilizado contra los investigadores de seguridad. Las recompensas por errores funcionan con la idea de que la piratería está autorizada y, por lo tanto, permitida por la CFAA. Y un nuevo memorando del DOJ(Se abre en una nueva ventana) dice que si está pirateando de buena fe, el Departamento de Justicia no lo procesará. Pero esa línea podría variar. Los problemas legales ocurren cuando las personas se enojan entre sí.
“Empresas, sí, deben notificar si existe un daño potencial”, continuó. “Asegúrese de que los datos no persistan. Pídale al investigador que confirme por escrito que se ha ido. Investigadores, díganlo, no lo rocíen. No rocíe los datos por todas partes. Si la empresa le pregunta si lo ha eliminado, diga la verdad si no pudo. Plataformas de seguimiento de errores, deje que sus clientes tengan más control. Haga que la autenticación de dos factores sea obligatoria para que los investigadores accedan a sus sistemas. Y aclare sus prácticas de privacidad”.
“Nos encantan las recompensas por errores y nos encantan las empresas que nos permiten hablar sobre nuestra experiencia. Pero, ¿podría ser demandado si cabreo a una empresa? dijo Ayrey.
“Ahí es donde aterrizaremos”, concluyó Merrill.
Al leer esto, probablemente no seas un cazador de errores. No corre ningún peligro de que lo acusen bajo la CFAA o lo demanden por piratería informática. Pero es bueno saber que aquellos que rastrean errores están comenzando a tener en cuenta su privacidad. Con los cambios propuestos en esta charla, es menos probable que quienes intentan proteger su información privada la expongan.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.