Fant sikkerhetshull i nettbutikk - Hva gjør jeg?

[spikre]

Hei,

En ledende stor nettbutikk i Norge har et stort sikkerhetshull som gjør at man ved å endre litt på URL-en kan få tilgang til hele administrasjonen, ordrebehandlingen, databasen, kunderegister osv.
Bare i dag har de mottatt over 60 bestillinger. Tilsammen har de 190 000 kunder i registeret...

- Jeg ønsker selvfølgelig å informere dem om dette, slik at hullet kan bli tettet og hindre hackere i å gjøre ugang. Jeg vil jo gjerne tjene noe på å tilby meg å fixe problemet, men hvor mye kan jeg ta for det? Hullet er så stort, at det faktisk er mulig å endre på alt av innhold - og t.o.m. slette databasen !

Hva kan jeg kreve for å fixe hullet? (ikke i noe fall er jeg ute etter å gjøre ugang!)

 

[clinton4]

Jeg synes bare du skal fortelle dem om hullet og nøye deg med at du gjøre en god gjerning

 

[peterandrej]

- Jeg ønsker selvfølgelig å informere dem om dette, slik at hullet kan bli tettet og hindre hackere i å gjøre ugang. Jeg vil jo gjerne tjene noe på å tilby meg å fixe problemet, men hvor mye kan jeg ta for det? Hullet er så stort, at det faktisk er mulig å endre på alt av innhold - og t.o.m. slette databasen !

De leier neppe inn deg for å gjøre dette. De vil naturligvis få leverandøren av løsningen av nettbutikken til å fikse problemet i første omgang. Dersom dette er en stor nettbutikk med høy omsetning vil de dog sikkert uansett være takknemlig for at du tipset dem om dette, slik at det jo selvsagt kan dryppe noen varer, o.l. på deg, men at du får jobben med å fikse sikkerhetshullet for dem vurderer jeg som svært usannsynlig.

 

[Tonny Kluften]

Hei spikre.
Det regnes faktisk som hacking at du har gått inn og sett på dataene deres.
Ring dem og fortell om det. De vil garantert bruke nåværende webansvarlig (eller forresten, kanskje de vil sparke ham). Uansett så kan du jo tilby å fikse det for timespris.

 

[spikre]

Hmm.. tror jeg vil ta i mot rådet om å kun informere dem, også ta følelsen av å gjøre en god gjerning som godtgjørelse nok.
Alt tyder på at det er daglig leder som har ansvaret for webutviklingen.

 

[Kassimaja]

Når hullet er tettet hadde det vært artig om du fortalte litt mer. Hvilken butikk det er snakk om, hvordan du oppdaget det og hvordan du ble tatt i mot når du ga beskjeden, men vent for all del til hullet er tettet.

 

[Msites Ltd]

Vil du sikre deg en tusenlapp er jo de forskjellige avisene en god kilde for en tusenlapp. Dette burde kvalifisere til en tusenlapp!

 

[Dag Frogner]

Men si for all del ikke til de at du har vært "inne", da får du kanskje en anmeldelse i retur.

De burde jo være veldig interessert i å betale deg noen kroner for at du tipser de.

 

[spikre]

Jeg sjekket brreg og fant nummer direkte til daglig leder, som jeg visste var websjef. Jeg forklarte hvilke tilganger jeg fikk, og leste opp info fra de 2 siste ordrene for å vise seriøsiteten. Kunne høre han ble nervøs når han forstod at dette ikke var tull.

Jeg forklarte han at jeg kunne fortelle ham hvilke linjer han måtte endre for å sperre hullet, og spurte samtidig om det var noe å få igjen for dette - jeg gav altså ordet til han.
Han tilbydde etter litt om og men 1500,- for dette, eller varer for 8000,- i nettbutikken deres.
Det er klart at hullet er verd flere hundre tusen for en kjeltring. Jeg takk pent nei til tilbudet, og sendte ham linjene som måtte rettes.

Hullet er nå fikset, og jeg sjekket forskjellige kombinasjoner for om jeg skulle klare å komme inn igjen, men fikk det ikke til. Trolig er problemet løst nå.

- Jeg vet ikke hvor lurt og hensiktsmessig det er å gå ut med hvilken nettbutikk der er; men de er store nok til å ha en mengde reklame på TV. De selger klær, tilbehør og "dill-dall". På proff.no har de en oppgitt omsetning til noen titalls millioner årlig. En snittordre er på noen hundrelapper.

 

[Dag Frogner]

Bra det ble fikset da.

Men hvorfor takket du nei?

 

[clinton4]

Bra gjort av deg. Jeg tviler på de bruker en opensource nettbutikk, men hvis så er tilfellet, bør du rapportere dette til utviklerene også.

 

[Msites Ltd]

Du burde si hvilken type nettbutikk dette er så vi andre ikke går i samme fella.

Jeg ser heller ikke noe farlig i om du poster hvem dette gjelder.

 

[Tonny Kluften]

Syns at varer for 8000 var greit gjort av ham. Er vel ikke nødvendig å si hvem dette gjelder, men bruker de et kommersielt webbutikkscript?

 

[Julian Alois Barthel]

8000 var jo veldig greit!
Jeg hadde nok tatt gaven imot

 

[allegretto]

Ser ingen grunn til å skulle oppgi hvem/hvilken nettbutikk. Men om det er opensource (noe det trolig ikke er) så bør det vel kommenteres..