\n<\/p>\n
Un ciudadano servicial que devuelva un alijo de dinero en efectivo encontrado en la basura puede recibir una recompensa, pero no puede quedarse con el bot\u00edn. Sin embargo, cuando el tesoro extraviado es digital, la historia se ve diferente. <\/p>\n
Las Vegas es el hogar de muchos atracos bancarios ficticios, pero esta semana Sin City ser\u00e1 la sede de la conferencia de seguridad Black Hat. Dylan Ayrey, director ejecutivo de Truffle Security, y la abogada de seguridad cibern\u00e9tica Whitney Merrill, oficial de protecci\u00f3n de datos y asesora principal de privacidad de Asana, obsequiaron a los asistentes a la conferencia de Black Hat con historias de datos personales err\u00f3neos y las diversas entidades que llegaron a poseerlos, luego propusieron formas de minimizar la posibilidad de exposici\u00f3n.<\/p>\n
El equipo se centr\u00f3 espec\u00edficamente en los programas de recompensas por errores. En un programa de este tipo, una empresa importante como Microsoft establece reglas que autorizan a los investigadores leg\u00edtimos a hackear sus productos y servicios, recompensando los hackeos exitosos con dinero en efectivo. Suena un poco dudoso, pero cuando los hackers de sombrero blanco encuentran e informan un error, la empresa puede solucionarlo antes de que se abuse de \u00e9l.<\/p>\n
\u201cEntonces, antes de comenzar\u201d, dijo Ayrey, \u201clevante la mano si ejecuta un programa de recompensas por errores o ha participado en uno. Hmm, tal vez la mitad de la audiencia. Por la mitad que no levant\u00f3 la mano, es posible que hayas participado aunque no lo sepas\u201d.<\/p>\n
\u201c\u00bfPor qu\u00e9 estamos calificados para hablar de esto?\u201d continu\u00f3 Ayrey. \u201cSoy un investigador de seguridad y un cazador de errores. Cofund\u00e9 una empresa llamada Truffle Security, basada en una tecnolog\u00eda de privacidad llamada TruffleHog\u201d.<\/p>\n
\u201cHola, soy Whitney\u201d, dijo Merrill. \u201cSoy abogado, pero no su<\/em> abogado. He trabajado como abogado interno durante muchos a\u00f1os. Actualmente apoyo a mi equipo en Asana\u201d.<\/p>\n \u201cLos programas de recompensas por errores dicen que no toques los datos de otros usuarios\u201d, continu\u00f3 Ayrey. \u201cSolo prueba con tu propia cuenta. No involucres a otros usuarios. Este lenguaje es com\u00fan; est\u00e1 en muchos programas. Entonces, esta charla es sobre la privacidad de los datos en los sistemas de recompensas por errores, \u00a1estamos bien! Les hemos dicho a nuestros piratas inform\u00e1ticos que no toquen los datos incorrectos\u201d. <\/p>\n En este punto, mostr\u00f3 una diapositiva con el texto \u00abMierda\u00bb, provocando muchas risas. \u201cOye, Whitney, acced\u00ed accidentalmente a informaci\u00f3n personal. \u00bfHay algo que pueda hacer? \u00bfPodr\u00eda estar en problemas?<\/p>\n La pareja se lanz\u00f3 a una divertida conversaci\u00f3n con gui\u00f3n, muy parecida a la que cualquier hacker podr\u00eda tener con un amigo legal. Establecieron que el script de prueba de Ayrey, dise\u00f1ado para marcar y capturar cualquier intento de procesar sus propios datos de manera insegura, fue activado por un administrador que accedi\u00f3 a una gran cantidad de cuentas de manera insegura. Revel\u00f3 el acceso, pero el programa de recompensas no le pidi\u00f3 que lo borrara. En cualquier caso, la eliminaci\u00f3n podr\u00eda ser dif\u00edcil, ya que los datos est\u00e1n por todas partes: un sistema de secuencias de comandos de terceros, una copia en un servidor de AWS, la copia en Gmail, su disco duro, sus copias de seguridad de Time Machine y el error. sistema de seguimiento, al menos.<\/p>\n Continuaron aclarando que la empresa involucrada cerr\u00f3 el ticket informando el error, pero no dijo nada sobre la eliminaci\u00f3n de los datos. De hecho, Ayrey descubri\u00f3 que pod\u00eda abrir el ticket cerrado y acceder a todos los datos personales incluidos. Mirando m\u00e1s all\u00e1, podr\u00eda acceder a cualquier dato personal de todos<\/em> sus boletos cerrados. Y otros cazadores de errores confirmaron la misma experiencia.<\/p>\n Para esta sesi\u00f3n informativa, Ayrey quer\u00eda ofrecer ejemplos concretos. \u201cTal vez algunas de las empresas involucradas nos dejar\u00edan hablar sobre ellas\u201d, dijo Ayrey. \u201cEso no funcion\u00f3 al principio, pero mira, hay muchos m\u00e1s investigadores; tal vez encontremos algunas empresas que nos dejen hablar. La mayor\u00eda de estas solicitudes fueron denegadas. Para el peque\u00f1o n\u00famero que aprob\u00f3 nuestra solicitud, \u00a1un gran saludo! No los estamos avergonzando de ninguna manera por permitir la transparencia.<\/p>\n \u201cEn un ejemplo con Google, un empleado estaba trabajando en decenas de miles de registros con un programa \u00fanico\u201d, dijo Ayrey. \u201cDebido a la representaci\u00f3n insegura, esos datos van a m\u00ed. No se me pidi\u00f3 que lo borrara, conserv\u00e9 el acceso y la empresa no hizo ninguna divulgaci\u00f3n. Esa era la historia hasta hace unos d\u00edas. Pero despu\u00e9s de que Google vio una copia temprana de mi charla, despu\u00e9s de dos a\u00f1os est\u00e1n cambiando sus procesos internamente para garantizar que se eliminen los datos\u201d.<\/p>\n Ayrey pas\u00f3 a detallar varios ejemplos m\u00e1s que involucran, entre otros, a Uber y Starbucks. En todos los casos, no se le pidi\u00f3 al investigador involucrado que eliminara los datos personales y retuvo el acceso a ellos en el sistema de recompensas por errores. Y la compa\u00f1\u00eda involucrada nunca revel\u00f3 la exposici\u00f3n.<\/p>\n \u201cLa conclusi\u00f3n es que estos no son casos \u00fanicos\u201d, dijo Ayrey. \u201cEstos eventos son muy comunes. Por cada ejemplo que podemos compartir p\u00fablicamente, hay cien que no podemos. Necesitamos iniciar una conversaci\u00f3n\u201d. <\/p>\n Se\u00f1al\u00f3 que el sistema actual incentiva la captura de informaci\u00f3n personal. Un investigador que revela un error con mayor impacto obtiene un pago m\u00e1s alto, y exponer informaci\u00f3n personal ciertamente tiene un mayor impacto. A veces, el programa de recompensas incluso solicitar\u00e1 una prueba del impacto y, nuevamente, la divulgaci\u00f3n de informaci\u00f3n personal es una prueba suficiente.<\/p>\n \u00abEn cierto modo, \u00bfpor qu\u00e9 deber\u00eda importarte?\u00bb dijo Merrill. \u201cLos datos est\u00e1n en todas partes. \u00bfPodemos incluso llegar a arreglarlo? Bueno, no a la perfecci\u00f3n, pero podemos dar pasos incrementales.<\/p>\n \u201cHagamos que algunos de esos desechos t\u00f3xicos sean menos t\u00f3xicos\u201d, continu\u00f3. \u201cSi configura una recompensa por errores, primero debe tener los fundamentos. Trabaje con su equipo legal. La primera vez que se enteran de su programa de recompensas por errores no deber\u00eda ser cuando usted tiene un problema.<\/p>\n \u201cInvestigadores, pueden progresar en cada paso que Dylan describi\u00f3\u201d, se\u00f1al\u00f3. \u201cCon plataformas de terceros, tenga en cuenta qu\u00e9 datos podr\u00edan terminar en otro lugar. Elimine lo que pueda y sepa d\u00f3nde no. En cuanto a Gmail, esto es obvio. Es impactante para m\u00ed. \u00a1No ponga cosas en el correo electr\u00f3nico! Eliminar el correo electr\u00f3nico. Mejor, pegue los datos en un enlace y comparta el enlace, para que los datos en s\u00ed no est\u00e9n en varios sistemas de correo electr\u00f3nico\u201d.<\/p>\n Incluso con todas las precauciones, la investigaci\u00f3n de seguridad es un campo arriesgado. \u00ab\u00bfTe demandar\u00e1n?\u00bb pregunt\u00f3 Merrill. \u201cNo hay una respuesta clara. En el pasado, la Ley de Abuso y Fraude Inform\u00e1tico de EE.(Se abre en una nueva ventana)<\/span> se ha utilizado contra los investigadores de seguridad. Las recompensas por errores funcionan con la idea de que la pirater\u00eda est\u00e1 autorizada y, por lo tanto, permitida por la CFAA. Y un nuevo memorando del DOJ(Se abre en una nueva ventana)<\/span> dice que si est\u00e1 pirateando de buena fe, el Departamento de Justicia no lo procesar\u00e1. Pero esa l\u00ednea podr\u00eda variar. Los problemas legales ocurren cuando las personas se enojan entre s\u00ed.<\/p>\n \u201cEmpresas, s\u00ed, deben notificar si existe un da\u00f1o potencial\u201d, continu\u00f3. \u201cAseg\u00farese de que los datos no persistan. P\u00eddale al investigador que confirme por escrito que se ha ido. Investigadores, d\u00edganlo, no lo roc\u00eden. No roc\u00ede los datos por todas partes. Si la empresa le pregunta si lo ha eliminado, diga la verdad si no pudo. Plataformas de seguimiento de errores, deje que sus clientes tengan m\u00e1s control. Haga que la autenticaci\u00f3n de dos factores sea obligatoria para que los investigadores accedan a sus sistemas. Y aclare sus pr\u00e1cticas de privacidad\u201d.<\/p>\n \u201cNos encantan las recompensas por errores y nos encantan las empresas que nos permiten hablar sobre nuestra experiencia. Pero, \u00bfpodr\u00eda ser demandado si cabreo a una empresa? dijo Ayrey. <\/p>\n \u201cAh\u00ed es donde aterrizaremos\u201d, concluy\u00f3 Merrill.<\/p>\n Al leer esto, probablemente no seas un cazador de errores. No corre ning\u00fan peligro de que lo acusen bajo la CFAA o lo demanden por pirater\u00eda inform\u00e1tica. Pero es bueno saber que aquellos que rastrean errores est\u00e1n comenzando a tener en cuenta su privacidad. Con los cambios propuestos en esta charla, es menos probable que quienes intentan proteger su informaci\u00f3n privada la expongan.<\/p>\n Matricularse en Vigilancia de la seguridad<\/strong> bolet\u00edn de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.<\/p>\n Este bolet\u00edn puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un bolet\u00edn informativo indica su consentimiento a nuestros T\u00e9rminos de uso y Pol\u00edtica de privacidad. Puede darse de baja de los boletines en cualquier momento.<\/p>\n<\/p><\/div>\n<\/div>\n<\/div>\nEs dif\u00edcil hablar de<\/h2>\n
Seguridad para investigadores, consumidores y rastreadores de errores<\/h2>\n
Recomendado por Nuestros Editores<\/h3>\n<\/div>\n<\/div>\n
Hackeo \u00e9tico<\/h2>\n
\u00bfTe gusta lo que est\u00e1s leyendo?<\/h4>\n