La negazione del full disclosure è storia vecchia ma il rischio di denuncia è recentissimo: un bug hunter scopre un serio bug in un sistema di sicurezza, avverte il produttore e dopo qualche giorno ne parla online. Dopodiché anziché essere ringraziato viene minacciato di denuncia.
L’ultimo episodio del genere lo segnala The Register e riguarda la possibilità di entrare nelle cam di sicurezza gestite dalla società LookC: ad alcune di quelle installazioni, usate da molti diversi istituti pubblici e privati e spesso accessibili via Internet, chiunque può accedere, senza credenziali di sicurezza. L’occhio privato e classificato con cui certi impianti CCTV vengono utilizzati, dunque, può trasformarsi così in uno streaming online per chi capisce come connettersi al sistema.
Una notizia del genere è di interesse primario per il produttore. Che il 9 settembre riceve dal bug hunter Mike Stephens notizia della vulnerabilità. Tre giorni dopo, non avendo ancora avuto feedback dal produttore, Stephens decide di rendere il tutto di pubblico dominio. Il ragionamento è ovvio ed è sempre quello: se l’ha scoperto un esperto di sicurezza possono averlo scoperto in tanti, ed è dunque importante che chi usa questi sistemi sappia quale rischio sta correndo, tanto più che molti di questi sistemi si trovano anche all’interno di scuole elementari e istituti infantili.
La questione è resa ancor più grave, aveva spiegato Stephens, dal fatto che i server per lo streaming si trovano via Google piuttosto rapidamente e che accedere a quelle immagini non richiede altro che aggiornare la pagina che si può raggiungere dal motore di ricerca.
Venerdì scorso è arrivata la risposta di LookC: l’azienda ha ammesso che alcune vecchie versioni dei propri sistemi soffrivano di un problema di sicurezza ma avverte che le notizie da Stephens sono arrivate il 12 settembre e che immediatamente l’azienda è corsa ai ripari, sistemando il problema e avvertendo i clienti. Ma non si ferma qui. Il produttore dice anche: “La persona che ha messo in luce la vulnerabilità ha deciso di pubblicare i modi con cui effettuare l’hacking di server LookC via Internet, e poi seminare su altri blog i link ai suoi articoli per utenti Internet e hacker. Possiamo solo immaginare quali siano le ragioni dietro un’azione del genere ma non abbiamo escluso che si tratti di un intento criminale”.
“LookC – conclude lo statement dell’azienda – ha chiesto alla polizia di indagare sulla vicenda e sull’individuo suddetto”.