原标题:见笑转生气?资安公司善意揭露漏洞反遭资诚发律师信警告不准公开
示意图,与新闻事件无关。
图片来源:ESNC
面对善意的资安漏洞揭露者,您的企业会怎幺做?本身也提供资安评估服务的全球知名会计与顾问服务业者资诚(PwC),竟然选择以律师警告信禁止善意揭露者对外公开其软体漏洞,引发争议。
德国资安研究公司ESNC今年8月时发现 ,PwC针对SAP系统开发的一套自动控制评估(ACE)软体,存在高风险弱点 ,可能导致攻击者跳过变更管理控制与责任分割限制等系统安全控制设计,操控企业会计文件与财务数字。
PwC开发的该款ACE软体住要是用来萃取SAP财务系统中的安全与配置资料档,加以分析并生成例外报告以供审核之用。
ESNC表示,PwC ACE软体的漏洞发生在8.10.304版,但稍早版本推论也可能存在相关漏洞,该漏洞可能让骇客从远端或现场,在SAP的进阶业务应用程式(Advanced Business Application Programming)系统中植入恶意软体,进而偷窃或操弄个人资讯如用户资料、员工薪资管理资料,严重者甚至可能操弄企业资金转帐。
ESNC在8月时便主动通知PwC,双方还会面讨论漏洞範围,ESNC并以本身的漏洞揭露责任政策为由,提供PwC三个月的修复时间,然后才会正式对外发布资安漏洞通报。不过PwC却在三天后寄发律师信,要求ESNC不得对外公布该漏洞。
ESNC以资安业界常态以及公布漏洞为正确做法为由,最后还是决定在三个月后公布,但却在预定公布前又收到了PwC发出的第二封要求其停止与终止的警告信(C D Letter),ESNC延后两星期后还是对外公布了该漏洞。
PwC发言人对外坦承该漏洞的确存在,但已经修复,并称ESNC是在未取得该软体授权的情况下使用该软体。PwC亦表示,ESNC提到的问题程式码在现存版本中已经不存在,并指ESNC描述该漏洞发生的情况是在假设性且不太可能发生的情境下才会发生,该公司并不知道有任何有效利用该漏洞的攻击。
在网路攻击频繁发生且防不胜防下,许多软体公司为强化旗下产品的安全性祭出高额奖金以鼓励白帽骇客协助找出漏洞,PwC以警告信威胁资安公司不要公布自家漏洞,形成显着对比。
相关:
示意图,与新闻事件无关。 图片来源: Apple 苹果于本周一(12/12)释出了iOS 10.2,这是一个相对庞大的更新,除了新增多项功能之外,还修补了12个安全漏洞,其中有两个漏洞可能招致任意程式执行。苹果是在今年10月
Netgear官网上已指出R7000、R6400及R8000路由器已接获通报有漏洞,正进行调查,同时将儘快释出更新。 图片来源: Netgear 卡内基美隆大学的CERT协调中心(CERT/CC)上周公布知名网路设备厂商Netgear两款路由器产品的
示意图,与新闻事件无关。 图片来源: Yahoo 来自芬兰资安业者Klikki Oy的安全研究人员Jouko Pynn?nen上周指出,Yahoo已于近日修补了他所提报的一个位于Yahoo Mail的重大漏洞,使用者只要开启由骇客寄来的邮件,不需
卫福部食药署昨天公布,吉野家等业者贩售的“四付红纳豆”,內含日本核灾区茨城产酱油包。对此,卫福部次长何启功今天(12日)表示,根据国际规范,目前并未针对产品中的小包装规范,这次是刚好抽验到,未来卫福部会补
▲大中华区总经理接受《NOWnews今日新闻》时尚线记者独家专访。前言:瑞典快时尚品牌H&M于11月25日在台北西门町开设品牌旗舰店,这也是全亚洲最大的H&M旗舰店,为何选上西门町这个年轻人与观光客必逛的潮流圣地呢?《