Cuando tus compañeros te amenazan con cargos graves
(miles.land)- Estudiantes que revisaron de buena fe Fizz, una app social anónima que estaba ganando popularidad en el campus de Stanford, descubrieron acceso de lectura y escritura a toda la base de datos, además de información de usuarios y publicaciones no anonimizada
- Los investigadores enviaron un reporte de divulgación de vulnerabilidades y propuestas de corrección, y hasta aceptaron retrasar la divulgación pública para darle tiempo a Fizz de arreglarlo, pero después la respuesta cambió a amenazas legales
- Fizz exigió que no revelaran lo que habían encontrado, mencionando violaciones a leyes estatales y federales, responsabilidad civil y penal, y la posibilidad de 20 años de prisión
- Los investigadores obtuvieron representación legal gratuita de Kurt Opsahl y Andrew Crocker de la Electronic Frontier Foundation, y no cedieron ante la exigencia de guardar silencio
- Incluso en investigaciones de seguridad hechas de buena fe, es más seguro dejar registro del objetivo, el alcance y las acciones realizadas, evitar guardar o filtrar datos y manipular cuentas, y no enfrentar amenazas legales en solitario
Problemas de seguridad encontrados en Fizz
- La app de redes sociales anónimas Fizz, una startup fundada por estudiantes de Stanford, se estaba volviendo popular en el campus, y promocionaba algo muy cercano a “100% secure”
- Como era un espacio donde los usuarios publicaban historias sensibles, estudiantes interesados en seguridad quisieron comprobar si esa información realmente estaba protegida
- En cuestión de horas lograron acceso completo de lectura y escritura a la base de datos de Fizz
- La base contenía información de usuarios y publicaciones
- Esa información no estaba completamente anonimizada
- Los investigadores concluyeron que Fizz casi no tenía protecciones de seguridad
De la divulgación responsable a las amenazas legales
- Los investigadores organizaron sus hallazgos en un reporte de divulgación de vulnerabilidades y se lo enviaron por correo a Fizz
- El reporte incluía los problemas encontrados y propuestas de corrección, y además acordaron por adelantado no hablar públicamente del tema hasta una fecha de embargo específica para darle tiempo a Fizz de arreglarlo
- Al principio, Fizz respondió agradeciendo el reporte y diciendo que corregir el problema era su prioridad máxima, y durante algunas semanas envió ciertas actualizaciones
- Después cambió de actitud y empezó a enviar amenazas a los investigadores, mencionando violaciones a leyes estatales y federales, así como responsabilidad civil y penal
- Las amenazas incluían incluso la posibilidad de 20 años de prisión
- El punto central era exigir que no divulgaran lo que habían encontrado
- La estructura del mensaje era que, si aceptaban guardar silencio, no impulsarían acciones legales, y el plazo para responder era de 5 días
- Los investigadores interpretaron esto como un intento de intimidarlos para silenciarlos
Apoyo legal de la EFF y resolución
- Los investigadores pidieron ayuda a su red de contactos y, en pocos días, fueron conectados con Kurt Opsahl y Andrew Crocker de la Electronic Frontier Foundation
- Ambos aceptaron representarlos gratuitamente, y los investigadores les explicaron el proceso de divulgación y los documentos relacionados
- Después de recibir asesoría legal, decidieron no ceder ante las amenazas de Fizz
- Kurt y Andrew redactaron la respuesta para enviar a Fizz, y luego el equipo de Fizz pidió una reunión
- Ambas partes resolvieron la situación de forma amistosa, y los investigadores presionaron a Fizz para que revelara el problema de manera proactiva a sus usuarios
- Fizz finalmente informó a sus usuarios sobre el problema
Principios que deben seguir los investigadores de seguridad
- Mantener la investigación como algo legítimo y documentado
- Antes de investigar, hay que dejar claro el objetivo y confirmar que no se están cruzando límites éticos
- Los investigadores no guardaron ni filtraron datos a los que podían acceder
- No manipularon cuentas de otras personas ni causaron daños
- Documentaron todo con detalle, y eso ayudó tanto a redactar el reporte de vulnerabilidades como a responder legalmente
- Hace falta responder con calma
- Incluso si se reciben amenazas legales, hay que responder de forma profesional
- El objetivo es resolver la situación sin escalar el problema
- Responder correos de forma emocional puede dañar la posibilidad de una resolución amistosa
-
Hay que conseguir un abogado
- Intentar manejar amenazas legales por cuenta propia puede ser un gran error
- Consideran que Fizz esperaba que los investigadores cedieran ingenuamente ante las amenazas
- No todo el mundo puede recibir representación gratuita de la EFF, pero hay cada vez más recursos para investigadores de seguridad que actúan de buena fe, así que conviene aprovecharlos
1 comentarios
Opiniones de Hacker News
No soy abogado, pero por trabajo me interesa esta zona extraña de la ley, y parece que el abogado del equipo de la EFF aquí hizo una afirmación un poco forzada.
Fizz es una aplicación cliente/servidor, probablemente una webapp, y lo que probaron los investigadores fue software que corría en los servidores de Fizz.
Tras encontrar la vulnerabilidad, los investigadores usaron la actividad de base de datos que habían obtenido para crear una cuenta de administrador, y nunca habían recibido autorización para esta prueba.
Si estos hechos son correctos, salvo que haya alguna ley de California que desconozco —e incluso en ese caso quizá sería irrelevante por la supremacía de la ley federal—, me parece que, a diferencia de lo que sostiene la respuesta de la EFF, violaron la CFAA de forma bastante directa.
Dicho eso, hay al menos tres factores que reducen el riesgo legal: por lo publicado y por su conducta posterior, queda claro que fue investigación de seguridad de buena fe, lo que los vuelve poco atractivos como objetivo de una acusación; tampoco está claro que haya habido un daño significativo; y Fizz es pequeña y nueva, así que parece poco probable que esto haya llegado hasta una firma forense o a una liquidación con una aseguradora.
Además, que los abogados de Fizz hayan amenazado a los investigadores con cargos penales para obtener concesiones valiosas, como señaló la EFF, viola las reglas del colegio de abogados estatal.
Aquí parece que ganó el lado bueno, pero sería prudente no generalizar demasiadas lecciones. Si en lugar de Fizz hubiera sido la función social de Dunder Mifflin Infinity, el resultado podría haber sido mucho más duro.
https://www.justice.gov/opa/pr/department-justice-announces-...
La magnitud de los “daños” queda en manos de la víctima, y le da a una gran burocracia un incentivo perverso para gastar arbitrariamente recursos que para ella son menores, pero grandes en términos absolutos, con el fin de imponer castigos severos a un actor imperfecto que la dejó en ridículo.
Incluso si esas medidas estuvieran dentro de un rango justificable, también es inapropiado trasladarle el costo a la persona que informó de la necesidad de tomarlas. Si operabas un servicio público con una vulnerabilidad grave, independientemente de si esta persona actuó de manera indebida, tenías que evaluar la posibilidad de que alguien más la hubiera explotado.
La causa de ese costo es tu propia conducta al operar un servicio vulnerable, y es un costo que habrías tenido que asumir después de ponerlo en operación incluso si hubieras descubierto la vulnerabilidad por tu cuenta.
Los daños atribuibles al acusado deberían limitarse al daño que efectivamente causó, por ejemplo, si hubiera usado el acceso para obtener información financiera de clientes y cometer fraude con tarjetas de crédito.
Si la configuración de la app era tan mala que, con solo seguir el protocolo de Firebase, se obtenían permisos de escritura en la base de datos, se puede argumentar fácilmente que en realidad no se eludió ninguna medida de seguridad. Porque no había medida de seguridad que eludir.
Me recuerda al caso en que AT&T simplemente puso la información de suscriptores de datos de iPad en una página web no listada. No recuerdo el resultado, pero entiendo que en aquel caso la persona intentó extraer la mayor cantidad posible de datos a los que podía acceder, lo cual es distinto de esto.
En el texto original no parece haber un “mea culpa”, pero aunque el tono del artículo sea medio meme, tipo “¿pueden creer lo que esta gente intentó hacer?”, espero que hayan aprendido la lección.
Sus intenciones parecen buenas, pero da la impresión de que violaron la ley con bastante claridad.
El año pasado, el DOJ actualizó su política de acusaciones bajo la CFAA para no procesar a quienes realizan “investigación de seguridad de buena fe” [1].
La CFAA es notoriamente amplia, así que la política del DOJ se queda bastante corta en comparación con reformar la ley para aclarar mejor la legalidad de la investigación de seguridad.
Aun así hay riesgo, porque una nueva administración podría cambiar la política, pero es menos riesgoso que antes de que se formalizara.
[1] https://www.justice.gov/opa/pr/department-justice-announces-...
En contratos o, especialmente, en comunicaciones legales amenazantes, cuesta entender por qué quien las redacta casi no enfrenta consecuencias por no escribir el contenido con precisión.
He visto frases en contratos laborales como “si una parte de este contrato resulta inválida, el resto no quedará invalidado”. El empleador intenta hacer cumplir sus propias reglas, y eso en sí es razonable, pero no hay ninguna desventaja por incluir cosas que no están permitidas. Como mucho, un tribunal considerará inválida esa cláusula.
La carga recae sobre el lector, que por lo general es la parte mucho más débil.
Aquí también, ¿por qué una empresa puede enviar una carta amenazante del tipo “¡por esto podrías ir 20 años a una prisión federal!”? Aunque sea claramente falso.
¿No debería recaer sobre quien redacta la responsabilidad de garantizar que el contenido sea razonable? Si es absurdo y demostrablemente incorrecto, ¿no debería haber una consecuencia negativa mayor que “ah, no pasó nada”?
Como dijiste, qué es fundamental lo interpreta el tribunal.
En el ejemplo del contrato laboral, la separabilidad también te protege a ti como individuo. Porque aunque algunas cláusulas queden invalidadas, el resto del acuerdo, incluidas las cláusulas que te protegen, sigue vigente.
Si todo el contrato quedara invalidado, habría que empezar de nuevo sin nada, y quizá hasta podrías perder el empleo. Tener algo de protección es mejor que tener cero.
Evita que ambas partes se liberen de todas sus obligaciones legales por un tecnicismo menor, o que incluyan deliberadamente cláusulas venenosas que no resistirían una revisión legal.
Si una parte del contrato queda invalidada, esa parte no puede usarse. Si la invalidez de esa parte cambia fundamentalmente el contrato, entonces todo el contrato queda invalidado. No sé qué más se espera de eso.
Suena como si se propusiera una respuesta punitiva por haber redactado un mal contrato, y eso me parece una idea bastante mala porque podría generar un efecto inhibidor sobre la formación de todo tipo de relaciones legales y comerciales.
También es probable que afecte más a la parte débil, que tiene menos acceso a redactores legales sólidos. Si incluso negociar cambios en el texto contractual se convierte en un campo minado de responsabilidad para quien negocia, ¿no quedaría la carga de responsabilidad aún más desproporcionada para un actor pequeño enfrentado a todo un equipo legal?
No veo bien cómo el mundo que imaginas no terminaría creando más riesgos para las partes débiles que el mundo actual.
En contextos de buena fe, la ley y la jurisprudencia cambian rápido, a veces dependen de los caprichos de un juez, y hay muchas áreas del derecho sin precedentes claros o con directrices difusas.
En esos casos, la separabilidad es importante para que no haya que renegociar todo el contrato solo porque una pequeña cláusula no resistió en tribunales.
Por ejemplo, piensa en un contrato laboral con una cláusula de no competencia: la empresa puede usar el mismo contrato en todas las regiones, y en los estados donde la no competencia es ilegal, la cláusula de separabilidad evita tener que redactar contratos separados para cada jurisdicción.
Si un estado antes permitía las cláusulas de no competencia y luego aprueba una ley que las prohíbe, ¿deberían quedar de pronto invalidados todos los contratos laborales que contienen una cláusula de no competencia? Por supuesto que no. Para eso sirve la separabilidad.
En cuanto a la amenaza del texto original, es difícil saber el contexto, pero podría haber sido una formulación como “el acceso no autorizado a nuestra red informática es un delito federal según la ley XYZ y puede conllevar hasta 20 años de prisión”.
Para una persona común suena muy intimidante, pero en sentido estricto no es falso; la mayoría de los abogados pondría los ojos en blanco y diría que es una tontería, pero si se agregan suficientes salvedades, se vuelve difícil decidir dónde trazar la línea.
Al final, estos documentos los escriben abogados en lenguaje jurídico que no está diseñado para personas comunes. Hacerles este tipo de amenaza a estudiantes universitarios fue pésimo, y el abogado que redactó y envió esta carta en nombre de la empresa le dio a la empresa un consejo tremendamente malo.
Se podría plantear el problema ante el colegio de abogados, pero creo que sería muy difícil convertir una situación así en un caso convincente.
Esta es una de las razones por las que la negociación colectiva es importante. Un sindicato puede costear representación legal para enfrentarse a los abogados de la empresa, pero a un empleado individual le resulta difícil hacerlo.
El sistema estadounidense funciona con el principio de “cada quien paga sus propios costos legales”, lo que facilita que las víctimas presenten demandas.
En cambio, el Reino Unido en general aplica el criterio de que “el perdedor paga los costos legales de ambas partes”, lo que hace que muchos demandantes duden en demandar aunque hayan sufrido un daño importante.
¿Qué daño causó esa amenaza y cuál sería una compensación justa? ¿Cuánto costaría contratar a un abogado y demandar para obtener esa compensación, y qué probabilidades habría de ganar?
Quien envió la carta amenazante probablemente se hizo el mismo tipo de preguntas.
Si se siente injusto porque la otra parte tiene más recursos, eso es un problema social más general. Tener más dinero da mejor acceso a todas las formas de justicia.
Este texto parece mostrar que la forma en que hoy se maneja la divulgación de vulnerabilidades cambió en general para bien
En los 90, todas las empresas eran así. Las compañías amenazaban con demandas, y la divulgación en sí parecía legalmente sospechosa. En foros o BBS se discutía desde el principio si era seguro divulgar, y circulaban sugerencias como usar cuentas de correo anónimas
Claro que algo de eso todavía queda. Sobre todo si se trata de empresas a la antigua o, como aquí, de universitarios ingenuos, pero en general la situación cambió drásticamente a favor de la divulgación
Ahora hay intermediarios dedicados a proteger la identidad de los investigadores de seguridad, grandes empresas que fomentan y elogian la divulgación, bug bounties de seis cifras e incluso leyes que se han vuelto más favorables para los investigadores de seguridad
Para el autor habrá sido una experiencia bastante desagradable, pero es un buen recordatorio de que antes situaciones así eran lo normal, o incluso peores, y ahora se han vuelto relativamente raras
Como muchas empresas aceptan bug bounties y fomentan este tipo de actividades contra ellas mismas, lamentablemente se termina enseñando a los “chicos” que esto es totalmente legal, moral y ético
Pero, como se ve en esta historia, en realidad es tirar los dados, y esta vez simplemente salió bien
Si no se cuenta con la cooperación del objetivo mediante un programa de bug bounty explícito, métodos como un correo anónimo todavía pueden ser una mejor idea. Aunque no ayudan a que un investigador de seguridad “se haga un nombre”
En la práctica, también equivale a admitir una intrusión no autorizada. Es como entrar por una puerta sin llave solo para comprobar si se puede ver dentro del refrigerador
En el tribunal de la opinión pública puede parecer que ayudaste a exponer las mentiras de una empresa, pero en un tribunal real eso no cambia el hecho de que eres culpable de un delito
En ese sentido, es distinto de una represalia típica de los 90. Para los estudiantes debe haber sido bastante aterrador
No descartaría la posible intervención de padres adinerados, aunque por supuesto no sé nada sobre la situación ni sobre las personas involucradas
Es una historia impresionante. El artículo de Stanford Daily tiene copias de las cartas intercambiadas por los abogados, y son bastante fuertes. Si EFF no hubiera intervenido, no habríamos podido leerlas
https://stanforddaily.com/2022/11/01/opinion-fizz-previously...
Según el artículo de Stanford Daily, “en ese momento Fizz usaba el producto de base de datos Firestore de Google para almacenar información de usuarios, publicaciones, etc.… Fizz no configuró las reglas de seguridad necesarias, por lo que cualquiera podía consultar directamente la base de datos… se podía acceder por completo a los números de teléfono y/o direcciones de correo electrónico de todos los usuarios, y las publicaciones y upvotes podían vincularse directamente con esa información identificatoria… además, toda la base de datos era editable. Cualquiera podía editar publicaciones, valores de karma, estado de moderador, etc.”
Esto es verdaderamente absurdo
Como el cliente escribe directamente en la base de datos, normalmente se olvidan de verificar permisos y confían en que el cliente solo escribirá en sus propios objetos
Hace mucho cambié un valor de usuario de Firebase a
isAdmin=truey obtuve acceso de administrador en una empresa de scooters eléctricos; después, por accidente, borré de Firebase el scooter que estaba rentando. No sé qué habrá pasado con ese scooter despuésEl mapa dentro de la app solo mostraba una ubicación aproximada, y en ciertos niveles de zoom los pines desaparecían
Reescribiendo las solicitudes con
mitmproxy, también se podían eludir filtros que impedían a menores buscar mayores de 18 o a adultos buscar menores, así como filtros exclusivos de pago como ubicación y género. El estado de pago no se verificaba del lado del servidorImagino una herramienta web donde se introduzcan el app ID y los valores de API incluidos en el frontend público, que opcionalmente también admita un ID de sesión para cubrir apps de Firestore con reglas de seguridad ligeras que solo muestran datos a usuarios logueados, y que acepte nombres de colecciones encontrados en código JavaScript para explorarlas
Curiosamente, Ashton Cofer y Teddy Solomon de Fizz intentaron hacer control de daños de relaciones públicas cuando se reveló su error https://stanforddaily.com/2022/11/01/opinion-fizz-previously...
Su respuesta fue débil, y desde entonces parecen haberse negado a comentar sobre este asunto
“Fizz publicó el 7 de diciembre de 2021 una declaración titulada ‘Security Improvements Regarding Fizz’, pero al momento de publicación de este artículo, esa página ya no se puede encontrar en el sitio web de Fizz ni mediante una búsqueda en Google”
Además, parece muy probable que la app todavía almacene información de identificación personal sobre la actividad “anónima” de los usuarios
“Además, todavía no sabemos si nuestros datos están anonimizados internamente. Los fundadores le dijeron a The Daily el año pasado que los usuarios eran identificables para los desarrolladores, y la política de privacidad de Fizz sigue sugiriendo que es así”
Aquí, “desarrolladores” podría incluir a esos mismos fundadores que se negaron a comentar sobre este problema, eliminaron las comunicaciones relacionadas de la empresa y, al principio, comercializaban un balde completamente agujereado como una “app de redes sociales 100% segura”, para luego recurrir a amenazas legales cuando los descubrieron
No me dan ninguna gana de poner mi información en Fizz
¿Por qué se pueden hacer amenazas legales y evitar consecuencias, pero si se amenaza con violencia física se puede terminar en la cárcel?
Amenazar con realizar un acto legal suele ser legal. Por ejemplo, amenazar con denunciar algo ante las autoridades no es ilegal.
“Al final de la amenaza había una exigencia: que nunca hablaran públicamente de lo que habían descubierto. En esencia, si aceptaban guardar silencio, no buscarían acciones legales”.
Legalmente, ¿una exigencia así puede impedir incluso hablar con la fiscalía estatal o la policía?
Si afirman que es “100% seguro” cuando en realidad no lo es, y saben que los usuarios no tienen ninguna protección contra el espionaje de la empresa o incluso de hackers con un mínimo de habilidad, como mínimo es fraude y se acerca más a la interceptación ilegal. Porque están engañando deliberadamente a los usuarios para que crean que es “100% seguro” y confiesen secretos al servicio.
Que esto haya terminado de forma “amistosa” es, honestamente, un fracaso de la justicia. El equipo de Fizz debería enfrentar cargos por fraude.
En Estados Unidos se valora más a las empresas que a los ciudadanos. La publicidad estadounidense está llena de afirmaciones falsas.
Lo ignoramos fingiendo que las palabras no tienen significado.
Interesante. En mi escuela también hay una plataforma muy parecida llamada SideChat, y no creo que sea muy diferente.
Como el año pasado me bloquearon permanentemente por cuestionar la validez de la “atención de afirmación de género”, me pregunto cuánto sabrán sobre mí.
Desde el punto de vista periodístico, fue excelente que señalaran públicamente a Fizz. “Fizz no protegió los datos de los usuarios. ¿Qué pasó después?”
Esto no es “alguien hackeó”, sino que Fizz no hizo lo que prometió.
Todavía me pregunto si se probó que la vulnerabilidad ya esté resuelta.
Sin embargo, parece que los datos de los usuarios no están completamente anonimizados internamente, como se había afirmado antes.