Ask HN: I hacked an ecommerce website, what do I do now?
I'm a web developer by trade and I (inadvertently) hacked an ecommerce website yesterday.
It started innocently, while ordering a replacement part for one of my domestic appliances. I received an email with the order status, the website was... let's say antiquated. Curiosity abetting, I soon had access to the whole database, with the full order history, the suppliers and the whole server.
I know I could wreck them but that's not my goal at all. This company has a turnover of > 5M€, based in France (as am I), I very well know the consequences of the chaos I could create.
I'm aiming for a responsible disclosure, but I don't want to get sued. I'd like to help them to get better at security and development, how would you approach this?
Love to all hackers and tinkerers!
23 comments
[ 2.9 ms ] story [ 47.7 ms ] threadI'd personally disclose it to them in the interest of protecting everyone else that uses their platform. You have the power and ability to stop what sounds like a pretty catastrophic leak.
IANAL but you're intentions are clearly in the right place, they'd be uproar if they tried to prosecute you...having said that they might still try
I'm at a loss because I've got the feeling that they are no technical people at all. I feel for them because I know the pains of selling online and I don't want to wreck the livelihood of these people.
If you have zero tolerance for risk, then print out the instructions and a copy of the script AND put the script on a thumb drive. Then mail them (physical mail, in a literal envelope) both to the company with no return address.
Then you've done your part, and you're unlikely to be sued.
Good luck.
You might wait 30 days or more in hopes their logs don't have your previous requests in them which could potentially identify you.
Ethically it doesn't seem right to feel obligated to help a business that has a problem. They have money and it's their responsibility to run their business competently, not yours.
I did something like this and when I reported the URL with the vulnerability they didn't answer, but when I tried to access that URL I got a page that said "the bug is in uranus". Unfortunately if you added any parameter to that URL the admin panel was still public.
EDIT: Depending on what potentially-logged http requests your curiosity lead you through, you may want to pursue the former.
My name is Jon and I’m a Technical Program Manager for HackerOne. HackerOne has a free, voluntary service called Disclosure Assistance. The way Disclosure Assistance works is that we take the vulnerability details you submit and attempt to contact the organization on your behalf. We have a wide range of tools and contacts within the industry that enable us to find the relevant contacts.
HackerOne will attempt to contact the affected organization and verify the identity of an appropriate point of contact to receive the vulnerability information. Once their identity is verified, an email is sent to the point of contact with a secret link to the contents of the bug report and the interactions between the hacker and HackerOne. At this point, the vulnerability information has been successfully shared with the affected organization.
We have helped hundreds of researchers responsibly report security issues, and would be happy to help in this instance as well. I want to reiterate that this is a free, voluntary service. You can read more about it and submit a report here: https://hackerone.com/disclosure-assistance
The laws in France seem a bit better as far as “unauthorised access” is concerned, I haven’t heard of any precedents where security researchers have been prosecuted there.
In any case, I’d recommend disclosing it anonymously over Tor (do they have a contact form? If so just fill it in using the Tor Browser).
Hence, my best advice is this: Contact a lawyer who's well-versed in local IT law before doing anything further at all.
Du point de vue de la loi française, entrer ainsi dans un système informatique, c'est comme entrer dans une maison ou une voiture dont la porte est grande ouverte. Illégal. L'analogie a ses limites (on peut voir une porte de maison grande ouverte sans entrer et avertir le propriétaire, alors que pour un système informatique c'est une foie entré qu'on voit que la porte était grande ouverte).
La dernière modification du 25/7/2015 renforce les sanctions (donc inutile d'espérer plus d'intelligence et de compréhension de la Loi)...
Article 323-1: "Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 € d'amende. [...]"
En l'occurence, il s'agit d'accès frauduleux...
Article 323-3: "Le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 150 000 € d'amende. [...]"
Ca, c'est pour les données que tu as pu récupérer...
Et bonus, l'article 323-5: "Les personnes physiques coupables des délits prévus au présent chapitre encourent également les peines complémentaires suivantes :
1° L'interdiction, pour une durée de cinq ans au plus, des droits civiques, civils et de famille, suivant les modalités de l'article 131-26 ;
2° L'interdiction, pour une durée de cinq ans au plus, d'exercer une fonction publique ou d'exercer l'activité professionnelle ou sociale dans l'exercice de laquelle ou à l'occasion de laquelle l'infraction a été commise ;
3° La confiscation de la chose qui a servi ou était destinée à commettre l'infraction ou de la chose qui en est le produit, à l'exception des objets susceptibles de restitution ;
4° La fermeture, pour une durée de cinq ans au plus, des établissements ou de l'un ou de plusieurs des établissements de l'entreprise ayant servi à commettre les faits incriminés ;
5° L'exclusion, pour une durée de cinq ans au plus, des marchés publics ;
6° L'interdiction, pour une durée de cinq ans au plus, d'émettre des chèques autres que ceux qui permettent le retrait de fonds par le tireur auprès du tiré ou ceux qui sont certifiés ;
7° L'affichage ou la diffusion de la décision prononcée dans les conditions prévues par l'article 131-35."
Pour toi, ce sera peut être #1, #2, #3, #6, #7
Je ne sais pas si c'est tout ce que tu encours... ou s'il y a d'autres articles de loi ailleurs. Mais je vais regarder par curiosité!!! En tout cas, tant que la loi ne changera pas, les sites web français pourront continuer à être de véritables passoires!!! :'(
Tel que je le comprends, si tu transmets un bug report à HackerOne... ben... tu morfles aussi!!! Parce que je doute que tu puisses te prévaloir du "motif légitime" de "sécurité informatique" puisque tu n'es pas dans le cadre d'une prestation spécifique de sécurité pour un client.
"On rappellera qu'en l’état de la jurisprudence de la Cour de cassation, et notamment de son arrêt du 9 septembre 2009, tout accès non autorisé à un système constitue un trouble manifestement illicite alors même que cela peut permettre d’éviter des atteintes ultérieures aux données ou au fonctionnement du système.
C'est ainsi que le hacker Bluetouff avait fait l'objet d'une condamnation par la Cour d’appel de Paris le 5 février 2014, la Cour de cassation confirmant cette position dans son arrêt de la Chambre criminelle du 20 mai 2015 : mais il s'agissait alors d'un système informatique extérieur librement accessible."
Donc logiquement, le simple accès frauduleux te fait aussi tomber sous le coup de l'Article 323-2 : "Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 150 000 € d'amende."
Qu'il y ait eu un impact réel ou pas, c'est ce qui a été jugé en cassation... Ne me remercie pas, c'est cadeaux!!! :''(
This situación should be handled by the Data Protection Officer (DPO) the company must have either a) con payroll or b) as contractor.
If I were you, I would report this anonymously to avoid beign sued.
Even better: talk to your lawyer and ask him/her to report anonymously the incident for you.
I have been un court as a designed expert and the concept of accidentally discovering a vulnerability is hard to explain to law people.
Other developers / security people will understand it, but DPOs are usually lawyers that report to the board that is composed of lawyers...