Útmutató felfedezett sérülékenységek biztonságos jelentéséhez

Az etikus hackerek célja a közérdek szolgálata, mégis előfordulhat, hogy büntetőeljárással szembesülnek. Az engedély nélküli penetrációs vizsgálatok törvényellenesek, ezért fontos, hogy minden esetben bizonyítani tudjuk, hogy tevékenységük nem ártó szándékú.

Mielőtt a sérülékenység feltárásába kezdenénk, legyünk tisztában a Büntető Törvénykönyvbe foglaltakkal: mindenképpen olvassuk el az „Információs rendszer felhasználásával elkövetett csalás”, 375. paragrafust. Bizonytalanság esetén forduljunk jogi szakértőhöz.

Alapelvek az etikus működéshez:

1. Közérdekű célok

   A hibák feltárása mindig szolgáljon közérdeket. Haszonszerzés vagy személyes érdek ne legyen motiváció. Nem szükséges ingyen hiba javítást felajánlani, de a haszonszerzés céljából végzett hackelés nehezen védhető. Kivételt képez ez alól, ha bug bounty programban, bejelentve tevékenykedünk.

2. Dokumentáció

   Pontosan rögzítsünk minden lépést, ideértve a hiba feltárását, a kommunikációt és a változtatásokat. Dokumentáljuk azt is, miért kezdtünk el hibát keresni, tevékenységünk hogyan szolgálja a közérdeket.

3. Átláthatóság

   Ne rejtsük el a nyomainkat, és demonstráljuk, hogy tevékenységünk nem rejtőzködő vagy ártó szándékú. Ha adatváltoztatásra kerül sor, részletesen rögzítsünk minden lépést.

4. Kapcsolatfelvétel

   A feltárt hibákat amint csak lehet, jelezzük az érintett döntéshozóknak, zsarolás nélkül. Ne kössük feltételekhez a hibák bemutatását, és biztosítsuk, hogy az illetékesek hozzáférhessenek minden információhoz a probléma megoldása érdekében. Dokumentáljuk az üzeneteinket és az arra érkezett reakciókat is.

5. Mértékletesség

   Csak a megkért határig menjünk el a feltárásokban, és ne térjünk vissza engedély nélkül. Ha az érintettek kifejezetten megkérnek, hogy ne végezzünk további feltárásokat, ezt tartsuk tiszteletben.

6. Nyilvánossághoz fordulás

   Csak akkor forduljunk a nyilvánossághoz, ha az érintettek ésszerű időn belül nem reagálnak, és a közérdek indokolja a lépést. Ne osszunk meg olyan információt, amely visszaélésre adhat lehetőséget. A problémát általánosan írjuk le, hogy laikusok is értsék, de rosszindulatú hackerek ne használhassák fel a hibát.

7. Személyes adatok védelme

   Ne kutassunk fel és ne mentsünk el személyes adatokat. Ha mégis szükséges ilyen adatok megismerése, rögzítsük, hogy ehhez az érintett beleegyezett.
   Mindenképpen kerüljük a minősített adatok (pl. államtitok) megszerzését vagy nyilvánosságra hozatalát.

8. Különleges esetek

   Ha a feltárt hiba közügyet érint (pl. korrupció, hatalommal való visszaélés), előfordulhat, hogy a nyilvánosság elsőkénti tájékoztatása indokolt. Ilyenkor is ügyeljünk az arányosságra, és csak a célhoz szükséges mértékű adatot hozzunk nyilvánosságra.

9. Hibák feltárásának célzott megközelítése

   Állami vagy önkormányzati szervezetek esetében a közérdekű bejelentő védelmét élvezhetjük, ha a szabályokat betartjuk. Magánvállalatok esetében is fontos, hogy a hibák feltárása minél több ember érdekét szolgálja. Kerüljük a kisebb, kevésbé releváns célpontok vizsgálatát, mert ezek nehezen védhetők a bíróság előtt.