it-swarm-eu.dev

La non conformità della normativa sui cookie dell'UE come constatazione in un rapporto di test di penetrazione?

Di recente ho notato un rapporto di test di penetrazione in cui la non conformità della normativa sui cookie dell'Unione europea (UE) è stata dichiarata come un risultato in una categoria "altro". Lo considero più una questione legale, relativa alla privacy e non tanta sicurezza.

Perché questo dovrebbe essere in un rapporto di test di penetrazione? Ci sono possibili problemi di sicurezza di cui non sono a conoscenza?

19
Bob Ortiz

Non conosco alcun impatto tecnico sulla sicurezza in relazione al mancato rispetto delle leggi UE sui cookie.

In definitiva, penso che ciò dipenda principalmente dalla discrezione del valutatore e dal contesto della valutazione. I problemi di privacy sono adiacenti alla sicurezza e comportano simili effetti sulle pubbliche relazioni e possono persino essere giudicati in violazione dei diritti dell'individuo, quindi penso che in alcuni casi tali risultati possano essere utili.

Per me la domanda non è tanto se queste cose debbano essere segnalate al cliente, quanto se debbano essere o meno nel rapporto pentest stesso. Esistono altri canali di comunicazione che possono essere utilizzati per trasmettere queste informazioni. Può darsi che questo sia stato discusso e il cliente abbia chiesto che fosse inserito nel rapporto. Potrebbe anche darsi che i problemi di conformità siano stati uno dei fattori chiave per fare la valutazione in primo luogo. Alcuni ambiti includono esplicitamente la ricerca di risultati che potrebbero mettere in imbarazzo l'azienda o i suoi associati (l'iniezione di contenuti è divertente qui).

Ho segnalato di tutto, dai problemi di funzionalità ai refusi (anche se seri con conseguenze volgari) ai clienti quando svolgono lavori di pentesting, se del caso, perché alla fine il mio lavoro è di aiutare a migliorare il loro sistema. Non credo faccia male includere questo genere di cose in un report perché può sempre essere rimosso e archiviato separatamente su richiesta del cliente.

35
Polynomial

Una vulnerabilità è qualcosa che ti lascia aperto alla possibilità di essere danneggiato. Essere perseguiti o citati in giudizio per violazione della legge è una forma di danno. Pertanto, non rispettare la legge è una vulnerabilità. È davvero così semplice.

14
David Schwartz

Questo è un problema di sicurezza per gli utenti.

La non conformità delle leggi relative ai cookie include che i dati sui cookie vengono creati su di te mentre si è sul sito, dopo aver fatto clic su "Disattiva". Se il sito non riconosce GDPR (leggi sulla privacy), un certo grado di informazioni di identificazione personale sull'utente viene trapelato nel dominio del sito, memorizzato e utilizzato in modi che equivalgono al tracciamento. Ciò comprende:

  • se viene visualizzato un banner che dice che vengono utilizzati i cookie e "fai clic su OK per accettare"
  • se non viene inviata alcuna notifica all'utente, ma viene eseguito il tracciamento
  • se non viene fornita alcuna opzione o preferenza all'utente, viene comunque eseguito il tracciamento.
  • e altri

I cookie sono una cosa ovvia da testare ed è forse l'unico modo affidabile per testare il tracciamento, poiché le tecniche di backend sarebbero invisibili a meno che una specifica funzionalità di personalizzazione rimanga coerente tra le visualizzazioni di pagina

Per alcuni di cui ho fatto parte, alcuni avvocati sostengono che i cookie non sono illegali purché non colleghino i dati di sessione con un identificatore personale.

Indipendentemente da ciò, questo sarebbe un probabile vettore per errori o false dichiarazioni, e quindi mi aspetto che venga visualizzato in un rapporto che tratta della sicurezza degli utenti.


tl; dr: le persone non sembrano capire che la privacy degli utenti è un problema di sicurezza per il utente.

8
New Alexandria

La non conformità alla legge significa che il sito deve essere riparato. Il GDPR in particolare non è una legge "facoltativa" in cui è possibile accettare le multe per una violazione.

Quindi è probabile che il sito debba essere riparato. Ma le scadenze del GDPR sono rigide. Molte aziende hanno capito che devono iniziare presto. Per altri, come in questo caso, sarà un lavoro urgente. E l'esperienza con i lavori Rush è che nella migliore delle ipotesi ottieni ciò che è richiesto. Quindi, qui, le modifiche dell'ultimo minuto al sito potrebbero non essere sottoposte a un'attenta revisione della sicurezza poiché la conformità al GDPR ha la precedenza.

Ad esempio, il GDPR offre ai clienti il ​​diritto di rivedere i propri dati propri. Un'implementazione rapida può dare ai clienti il ​​diritto di rivedere altri dati, inclusi i dati sensibili dell'azienda e i dati di altri clienti. Questo è un problema di sicurezza definito. Pertanto, la necessità di affrettarsi con la conformità al GDPR è correttamente identificata come un fattore di rischio.

0
MSalters