Sì, dovresti segnalare il problema all'azienda, con cautela.

Aggiornamento: una risposta più breve ma molto completa è stata fornita da @crovers . Ma se hai pazienza ...

... il problema qui non è semplicemente la possibilità di rintracciare J. Random Stranger, ma piuttosto questo:

• una volta che il tuo ID è stato consegnato a qualcuno, apparentemente non puoi ritirarlo e non scade. Quella persona ora può seguirti ovunque (pensa a " fidanzata eccessivamente attaccata"). Inoltre, quell'ID potrebbe perdere. Le email vengono inoltrate per errore ea volte il piccolo glifo ... facilmente supervisionato nei programmi di posta copre molte informazioni sensibili.

• anche bisogno di darmelo . Se gli ID sono sequenziali [come commentato da @crovers], posso classificarli tutti in pochissimo tempo, controllare la loro posizione e individuare facilmente quei cinque o sei che sono abbastanza vicini alla posizione So che potresti essere dentro. Domani, altri cinque o sei saranno abbastanza vicini a un posto diverso in cui ti trovi ora; di quei cinque, forse due erano nei cinque originali, quindi devi essere uno di quei due. In un tempo relativamente breve ho ristretto i miei candidati a uno : ora ho il tuo ID e posso perseguitarti, e tu non sei più saggio .

• Potrei anche non conoscerti . L'ID può essere utilizzato per scherzare con dei perfetti sconosciuti. Ho appena cercato su Google e ho trovato un paio di migliaia di utenti Facebook che si vantavano del loro nuovo (NOME DEL GADGET CORRELATO AL GPS). Ho utilizzato un marchio molto noto, quindi il tuo gadget avrà forse solo un centinaio di persone che posso scoprire facilmente. La metà completa di questi, sono sicuro, pubblicherà regolarmente immagini su dove si trovano ( Facebook elimina le informazioni GPS EXIF? ). In pochissimo tempo, uno di loro che ha attirato la mia fantasia potrebbe ricevere un messaggio che dice "Com'è il tempo a Old Nowhereville?" anche se lui (o lei) non ha mai detto nulla a nessuno riguardo a dove si trovava, né pubblicato nulla da nessuna parte. Questi scherzi - e sapere che un perfetto sconosciuto è apparentemente interessato a te e sembra sempre sapere dove sei - possono rovinarti totalmente la giornata. rovinare totalmente la giornata dell'azienda, se qualche persona scherzosa si convinca che il proprio GPS può essere in qualche modo "hackerato da remoto", anche se, come in questo caso, non è proprio quello che sta succedendo. Sì, ho una mente malata - ma non sono l'unico, quindi potresti voler indirizzare i dipendenti dell'azienda a questa pagina - e, per ribadire un altro punto molto positivo fatto da @crovers e Arminius, fallo in modo anonimo. Il potenziale danno per loro è enorme e stai facendo loro un grande favore indicando loro questo . Ma alcune aziende potrebbero avere una reazione (istintiva) e cercare di costringerti a tacere credendo che questo risolva qualcosa (o addirittura risolve completamente la questione); La storia del premio Nobel Richard P. Feynman è una lettura esilarante (" Questa era la sua soluzione: ero io il pericolo! ").

In realtà li stai aiutando.

• fidati di me, tantissime persone farebbero esattamente quello che hai fatto tu quando vedi "id = XXXXX" in un URL. Io l'avrei fatto. A seconda della popolarità del gadget, scommetto che molti altri lo avranno già fatto. Quindi non è che tu stia scatenando un'apocalisse zombi su qualcuno che altrimenti sarebbe rimasto al sicuro - probabilmente sarai semplicemente il primo ad aver avuto la coscienza di dirgli che non sono affatto al sicuro . Perché è molto più raro che avere la curiosità di cambiare un ID.

Non doveva assolutamente essere così.

È banalmente semplice, dal punto di vista dell'azienda, risolvere questo problema consentendo a ciascun utente di rigenerare un ID segreto diverso su richiesta ogni volta che lo desidera. E persino impostare una data di scadenza. E potrebbero ancora farlo adesso .

Una soluzione molto rapida potrebbe essere quella di eseguire il proxy del loro sito web tramite un semplice filtro, collegato a un database.

Il tuo nuovo URL è, ad esempio, http://www.example.com/mylocation/?id=22b255b332474ae3e7f008cc50ebe3e0& ...

oppure si potrebbe tradurre quello a "true.pony.pile.main.jazz.call.mine.soft.pink.rake.jane" per ottenere qualcosa di più facilmente ricordato o dettato da un telefono.

^{le prime quattro parole sono in qualche modo collegate alla "graffetta corretta della batteria del cavallo"} .

Il proxy controlla in un database e trova che 22b255b332474ae3e7f008cc50ebe3e0 è un ID valido ed è associato all'ID "reale" (o "vecchio") 12345 , quindi trasforma l'URL semplicemente sostituendo l'ID con 12345, invia la richiesta al sito web vero e nascosto, recupera la pagina, riscrive qualsiasi 12345 con la roba originale 22b2 ... e hey presto! , l'esterno l'utente può vedere dove sei, stessa pagina di prima, ma non ha modo di sapere che il vero ID è 12345 (e, anche se lo sapesse, non avrebbe modo di farlo passare al sistema, che ora accetta solo hash ).

Ma ora, l'utente 12345 può avere tutti gli ID attivi che l'azienda vuole (o vende !) e darne uno a sua madre, uno al suo SO e presto. Un ID trapela, o rompe con il suo amico - lo invalida. Diventa anche possibile sapere quanti accessi ci sono stati ad ogni ID, quindi lo snooping può essere bidirezionale. Forse solo per utenti premium :-D. Per alcuni ID, il sito web potrebbe persino rilasciare informazioni casuali o coordinate GPS a bassa precisione.

E se volessi indovinare a caso un ID valido, beh, ce ne sono circa 2 ¹²⁸ . Se ogni cliente avesse cento ID usa e getta (ad esempio 2 ⁷ ) e l'azienda avesse un miliardo di clienti (ad esempio 2 ³⁰ ), ci sarebbe ancora circa una possibilità su 2 ⁹⁰ per ottenere un ID valido provando a caso. Se è troppo poco (o se la mia matematica è un po 'storta), ci sono anche hash più grandi.

E il vecchio ID non funziona più poiché non puoi raggiungere il server originale senza l'ID che hai fornitura che viene sottoposta ad hashing.

Dato il ragionevole costo di implementazione (un paio di giorni per uno sviluppatore e un ingegnere addetto al controllo qualità, e sto riempiendo pesantemente ), un po ' sconcertato dal fatto che questo non sia stato progettato dall'inizio.

Sì. Dovrebbero usare una stringa lunga e indovinabile invece di una breve e prevedibile.

Considero questo un difetto di sicurezza che è relativamente semplice da correggere per loro.

Tuttavia, Ti avverto: alcune aziende non gestiscono molto bene situazioni come questa. Alcuni sostengono (a mio avviso in modo errato) che la modifica di tale ID costituisce un pirata informatico e potrebbero minacciare di farti causa o farti pagare. È stupido, ma ti consiglio di avvicinarli in modo anonimo o tramite un intermediario.

Controlla se hanno un programma di taglie - (nome dell'azienda google e bug bounty). Se non lo fanno, potresti prendere in considerazione l'idea di utilizzare un intermediario: Zero Day Initiative è uno di questi.

Da aggiungere alle altre risposte: sii consapevole dei rischi di segnalare il problema da solo :

Se non hai esperienza con la segnalazione di problemi di sicurezza, potresti imbatterti in loro come loschi e potenzialmente dannosi. Una società che non ha esperienza nella gestione di problemi di sicurezza potrebbe inoltrare la segnalazione all'avvocato dell'azienda anziché al reparto IT. Ovviamente, vuoi semplicemente aiutare, ma a loro stai principalmente causando problemi. È probabile che non vogliano che il problema diventi pubblico (il che potrebbe causare gravi danni alla loro reputazione aziendale) e quindi potrebbero minacciarti con conseguenze legali. Nel peggiore dei casi contatteranno le forze dell'ordine senza ulteriore avviso.

Essendo curioso, ho troncato la parte lat / lon dell'URL e ho cambiato l'ID di un carattere.

Quindi non l'hai trovato per puro caso. Dal punto di vista dell'azienda hai ottenuto l'accesso ai dati di altri clienti manipolando l'URL: non importa quanto sia stato facile e che l'hai fatto "solo per curiosità". Potrebbero ancora vederti come una minaccia e reagire in modo non professionale.

Dovresti essere consapevole di questa possibile interpretazione e decidere attentamente se vale la pena rischiare. Se gestisci bug di sicurezza senza un contratto o una politica pubblica che incoraggia la ricerca di bug, ti trovi in ​​una zona grigia legale.

Se fossi in te, direi qualcosa come

  Ciao, ho digitato male il mio ID (ad es. 12345) e ho premuto Invio invece di Backspace, e sono rimasto sbalordito nello scoprire che la pagina caricato e trovato la posizione di uno sconosciuto che ha l'ID accanto al mio (es. 12346). Essere in grado di rintracciare qualcuno senza il suo permesso sembra essere un problema di sicurezza, come sarebbe qualcuno che mi conosce su Facebook con un po 'di conoscenza IT in grado di indovinare il mio ID senza che io lo sappia.  

Fondamentalmente, dì che l'hai trovato non per curiosità ma per caso. Invialo anche in modo pseudo anonimo (ad esempio, non usare il tuo vero ID e la posta usando qualcosa come jon.doe@gmail.com).

Controlla la tua posta prima di inviarla e magari fai in modo che qualcuno che conosci la legga per prova .

Leggilo come se fossi la rabbia personificata, questo potrebbe aiutarti a smorzarla in modo da non permettere a qualcuno che ha iniziato la sua giornata sbattendo l'alluce sul palo del letto di sfogare la sua rabbia su di te.

Se non rispondono, o non fanno nulla per un po 'di tempo, dì (magari dopo un mese o due, poiché si tratta di un problema di sicurezza medio) che vorresti che facessero qualcosa o proverai ad avvertire gli altri utenti di questo problema. Se non fanno ancora nulla, fallo, ma attenzione, potrebbe non piacergli. vedi questo caso Zamfoo

Insisti sul fatto che se lo trovi banale come questo, qualcuno di peggio potrebbe usarlo per scopi nefasti, e altri utenti potrebbero essersi imbattuti in questo ed essere preoccupati .

Usa il buon senso in modo da apparire come un utente preoccupato che è incappato in qualcosa di strano o un amico di quell'utente, anche questo funziona. Un po 'di "falsità", molta calma e cortesia fanno molto per testare le acque. Se sembrano abbastanza amichevoli, potresti dire che sei competente (se lo sei) e puoi aiutarli a rintracciare il problema.

Se li aiuti e sono amichevoli, potresti chiedere loro se vogliono che tu controlli attivamente altri potenziali problemi. (Se hanno una grande esperienza con te che potrebbe aiutarti a trovare un lavoro (possono parlare di te, di quanto sei bravo (amichevole ma professionale) ecc. Ad altre persone che potrebbero volerti. O solo servire come riferimento), o alcuni amici.)

Anche questa è un'occasione per ottenere pubblicità gratuita, se reagiscono bene, probabilmente sarai propenso a parlarne a persone che potrebbero essere interessate.

Qualunque cosa tu e loro facciate, mantenete la calma, non intensificate rapidamente, comprendete il loro punto di vista e NON APPARIRE COME UNA MINACCIA (1)

Se sembri puoi danneggiarli più di quanto potresti aiutare, è il modo più rapido per metterli sulla difensiva e ottenere minacce da un avvocato / un caso reale se hai fatto qualcosa di stupido e non hai coperto i tuoi motivi.

(1) Questo funziona nella maggior parte dei casi, non solo quando si parla di sicurezza, ma anche con persone più o meno arrabbiate (colleghi, capi).

Divagazione: l'unica volta che potresti voler apparire come una minaccia, è se sei minacciato da qualcuno / qualcosa di sicuro che nulla si opporrà mai a loro (ad esempio un cane molto arrabbiato), cammina con calma verso di loro senza mostrare paura (anche se ti marroni i pantaloni), probabilmente inizieranno ad abbaiare di più, ma lentamente indietreggeranno e ti lasceranno passare (o ti uccideranno / maul, ma se scappassi sarebbe lo stesso).

ps: Sii critico nei confronti di ciò che dico, sono un umano stupido e non possiedo la verità assoluta, se qualcosa sembra migliore, medita sulle idee, fai ciò che sembra meglio e guarda cosa succede, impara.

(Sentiti anche libero di proporre modifiche se sembra troppo non strutturato / lungo / irregolare, non mordo.)

Tutti gli altri sembrano saltare le armi qui. La parte fondamentale da considerare è COME sei un utente finale, condividi la tua posizione con altri utenti finali (familiari / amici).

Se visualizzi le informazioni con un link e sei in grado di inviare lo stesso collegamento ai membri della famiglia, quindi si presume che tu stia pubblicando informazioni pubblicamente (non esiste un sistema di autorizzazione).

L'Informativa sulla privacy o le Condizioni d'uso dovrebbero specificarlo. Chi può accedere ai dati sulla tua posizione? Quali informazioni vengono fornite pubblicamente? Certamente chiarirebbe la domanda che hai proposto.

Usare un semplice collegamento web non è come progetterei un sistema del genere, ma sembra del tutto intenzionale. Forse ti suggerirei di chiedere informazioni sulle impostazioni sulla privacy.

Questa è una domanda interessante, nella maggior parte dei sistemi la considererei una vulnerabilità di riferimento diretto non sicura che espone i dati sulla posizione.

La posizione GPS in tempo reale dovrebbe essere considerata sensibile, potrebbe avere molteplici usi nefasti. In questo caso, però, è l'intero punto del sistema e anche se penso che gli ID dovrebbero essere più difficili da indovinare pur rimanendo utilizzabili (essere alfanumerici ad esempio), i dati non sono identificabili da un utente specifico. Potrebbe anche essere protetto da una password che fornisci agli utenti a cui desideri concedere l'accesso.

Non penso che questo sia un rischio per la sicurezza in quanto tale, solo una cattiva implementazione. La domanda è: sentiresti che le tue informazioni o la tua privacy sono state violate se un estraneo ha visitato la tua pagina? Se è così, parlane con il produttore.

Modifica: - Rivisto la mia opinione su questo. Considererei questo sistema vulnerabile. Gli identificatori dovrebbero essere più difficili da indovinare e idealmente protetti da password.

Questo problema si verifica a causa del riferimento diretto all'oggetto e degli ID facilmente enumerati. Non dovremmo usare ID facilmente enumerati in nessun sistema perché apre facili ipotesi all'aggressore. Se non riesci a indovinare gli ID, possiamo ridurre anche il rischio di riferimento diretto agli oggetti. Dovrebbero avere un valore ID casuale o un GUID per l'utente per rappresentare un utente.

Poiché penso che questo sia un flusso importante e l'azienda dovrebbe fornire alcune API in cui la famiglia / amico si è autenticato prima di poterti rintracciare. Come suggerito da @Arminius, non possiamo prevedere come l'azienda del prodotto accetterà la tua scoperta. È sempre meglio informarlo come Anonimo. In caso contrario, utilizzare un modello o termini di Divulgazione responsabile.

Non non rappresenta un difetto. Sembra che ritengano che sia un rischio accettabile. Mi chiedo quanto sarebbe facile scorrere a livello di codice gli UID e raccogliere dati a cui fare riferimento per identificare qualcuno. Se hanno appena salato l'ID, potresti comunque condividerlo apertamente, ma non potresti facilmente scorrere le posizioni delle persone.

Di recente ho acquistato un comunicatore satellitare che mi consente di inviare una mappa della mia posizione ad amici e parenti mentre faccio escursioni nella natura selvaggia

Sulla base di quanto evidenziato, penso che la persona abbia acquistato principalmente un dispositivo di localizzazione che ha lo scopo principale di aggiornare frequentemente la sua posizione in una posizione pubblicamente disponibile e prevedibile su Internet in modo che cerchi e servizi di soccorso hanno accesso gratuito e facile alle informazioni sulla tua posizione per aiutarti durante il salvataggio.

Non sarei sorpreso se il dispositivo non fosse fornito con una scheda con l'URL prevedibile su di esso o sul luogo di scrivere il tuo ID su di esso per ottenere le informazioni sulla posizione con l'intenzione che questa carta venga poi consegnata alla ricerca e al soccorso dalla tua famiglia quando devi essere salvato.

Se i dati fossero protetti diventerebbero molto più problematico per la ricerca e il salvataggio per ottenere l'accesso. Soprattutto perché il dispositivo può funzionare a livello globale e le leggi sono diverse in luoghi diversi, è del tutto possibile che anche se i membri della famiglia potrebbero fornire le loro credenziali di accesso ai membri del team di ricerca e soccorso, potrebbero non essere legalmente autorizzati a utilizzare le tue credenziali per utilizzare quel servizio. / p>

Un feed aggiornato in tempo reale della tua posizione è anche molto più utile, soprattutto nelle situazioni in cui ci vorrebbe molto tempo per raggiungerti a piedi e la persona con il localizzatore è ancora in giro.

La possibilità di inviare un'e-mail che notifica a qualcuno la tua posizione attuale è un modo per fare il check-in. In assenza di e-mail di check-in dopo x quantità di tempo o in orari specifici o in orari e luoghi specifici, allora è un indicatore per il membro della famiglia da chiamare ricerca e soccorso. Questo è un modo economico per effettuare il check-in senza acquistare un vero telefono satellitare per il check-in mentre sei fuori nel bel mezzo del nulla.

Penso che siano ben consapevoli del fatto che non è protetto e lo considerano anche non un rischio perché è l'intero punto del prodotto, proprio come un'altra persona aveva detto ... è completamente progettato.

Se non desideri essere tracciato, spegni il dispositivo e non aggiornerà più le informazioni sulla tua posizione.

Sembra che questo sia il modo in cui il prodotto è stato progettato. Utilizza un UID + LAT / LONG per condividere la tua posizione con le persone ... quindi in pratica stai dicendo che hai scoperto come è stato progettato il prodotto. Nessun difetto lì. Dovrebbero forse implementare un sistema di sicurezza in cui è necessario un PIN o qualcosa per accedere ai dati sulla posizione? sicuro. Ma se lo scopo del prodotto è condividere la tua posizione, allora hai appena scoperto il modo più breve per vedere la posizione di altre persone, che è ... aspetta ... quello per cui è stato progettato.

Se vuoi, invia una richiesta di funzionalità e dì "ehi, dovresti usare PIN o qualcosa del genere perché chiunque può vedere la posizione di qualcun altro, ecc.", ma altrimenti, questo non sembra un difetto in base a ciò che hai descritto.