面對善意的資安漏洞揭露者,您的企業會怎麼做?本身也提供資安評估服務的全球知名會計與顧問服務業者PwC,竟然選擇以律師警告信禁止善意揭露者對外公開其軟體漏洞,引發爭議。
德國資安研究公司ESNC今年8月時發現 ,PwC針對SAP系統開發的一套自動控制評估(ACE)軟體,存在高風險弱點,可能導致攻擊者跳過變更管理控制與責任分割限制等系統安全控制設計,操控企業會計文件與財務數字。
PwC開發的該款ACE軟體住要是用來萃取SAP財務系統中的安全與配置資料檔,加以分析並生成例外報告以供審核之用。
ESNC表示,PwC ACE軟體的漏洞發生在8.10.304版,但稍早版本推論也可能存在相關漏洞,該漏洞可能讓駭客從遠端或現場,在SAP的進階業務應用程式(Advanced Business Application Programming)系統中植入惡意軟體,進而偷竊或操弄個人資訊如用戶資料、員工薪資管理資料,嚴重者甚至可能操弄企業資金轉帳。
ESNC在8月時便主動通知PwC,雙方還會面討論漏洞範圍,ESNC並以本身的漏洞揭露責任政策為由,提供PwC三個月的修復時間,然後才會正式對外發布資安漏洞通報。不過PwC卻在三天後寄發律師信,要求ESNC不得對外公布該漏洞。
ESNC以資安業界常態以及公布漏洞為正確做法為由,最後還是決定在三個月後公布,但卻在預定公布前又收到了PwC發出的第二封要求其停止與終止的警告信(C&D Letter),ESNC延後兩星期後還是對外公布了該漏洞。
PwC發言人對外坦承該漏洞的確存在,但已經修復,並稱ESNC是在未取得該軟體授權的情況下使用該軟體。PwC亦表示,ESNC提到的問題程式碼在現存版本中已經不存在,並指ESNC描述該漏洞發生的情況是在假設性且不太可能發生的情境下才會發生,該公司並不知道有任何有效利用該漏洞的攻擊。
在網路攻擊頻繁發生且防不勝防下,許多軟體公司為強化旗下產品的安全性祭出高額獎金以鼓勵白帽駭客協助找出漏洞,PwC以警告信威脅資安公司不要公布自家漏洞,形成顯著對比。
更正啟示:內文原提及資誠,正確應為PwC,已作修正。