一位客户在我们的平台上进行了未经宣布的渗透测试

Question

一位客户在我们的平台（SaaS，多租户）上进行了未经宣布的渗透测试。

第一次测试中，他们在短时间内提出了极端数量的请求。它没有登录，而且是未经宣布的，所以我首先认为这是一次DDOS攻击。它使我们的服务器在其他客户的高峰时间停机。

第二次他们用一个登录的帐户做了这件事。也没有事先通知，但我在LinkedIn上找到了这个人，他是我客户母公司的“初级网络安全工程师”。

他们后来承认这是一次渗透测试。

渗透测试显然失败了（一切都很安全），但它给我们的数据库添加了许多垃圾数据值，我们必须手动清理。除了周末额外的工作和压力之外。

他们可以这样做吗？

更新

客户承认了他们的错误，并真诚地表示歉意。我猜想一些急切的安全工程师把我们的SAAS平台误认为是内部工具。对我来说，这个案子已经结案了。

很高兴听到一些关于客户是否会这样做以及这是否符合任何行为准则的意见。谢谢你的帮助。

Answer 1

这是合法的吗？

一如既往，这取决于你在哪里以及你所在地区的相关法律。

但区别于渗透试验犯罪黑客是指您已获得系统所有者的（书面）合法授权，可以执行该测试，并有一套明确的参与规则。

如果他们不这样做，听起来很可能会触犯法律。

这绝对是一个你应该向法律部门（或外部律师）提出的问题。

Answer 2

其他人已经谈到了这一点的合法性，我将回答隐含的问题“我们应该如何反应”：

您锁定他们的帐户，向他们发送一封邮件，说明您的安全团队检测到可疑活动，并要求他们联系您以解决此问题。然后等待他们的回应。

• 如果他们声称他们正在进行渗透测试，请告诉他们这是违反您的TOS¹的，并且在没有您的安全团队许可的情况下，他们应该停止这样做。如果你愿意，你可以利用这个机会让他们访问一个测试系统，并在那里免费获得一个pentest！

• 如果他们不知道你在说什么，向他们解释发生了什么。谁知道呢，也许他们已成功被黑客攻击，入侵者正试图使用其凭据进行攻击你的系统。

---

cco。。。如果它真的是根据您的TOS（服务条款）。否则，请跳过此步骤，并利用此机会更新您的TOS。您仍然应该告诉他们停止这样做，因为这显然不是您服务的预期用例。

Answer 3

IANAL，但在网络领域工作多年，对相关法律和先例有一定了解。

在英格兰和威尔士，根据《计算机滥用法案》，进行“未经授权的访问”或“未经批准的修改”是犯罪行为。根据《刑事未遂行为法》，未遂仍将构成犯罪。

然而，在你描述的情况下，这样的人不可能被起诉和定罪。它缺乏定罪大多数罪行所需的犯罪意图要素。这是没有得到正确的文件，而不是犯罪。

在民事责任方面，您很可能会面临案件，要求您的客户或测试公司赔偿损失，这可能包括与停机和清理数据库相关的费用。

世界各地的法律确实各不相同，尽管大多数国家都有类似于英国的《计算机滥用法案》。然而，一些国家（如法国）在这方面有更严格的法律。

Answer 4

合法性会因你在世界上的位置而异，你需要咨询律师或公司的法律部门。

然而，根据我的经验，服务条款通常涉及如何允许用户与系统交互。不遵守服务条款可能导致对服务的访问被暂停或终止。你可能想和你的律师或法律部门一起调查此事。如果不存在这样的子句，您可能需要将其放置到位。

技术控制也会有所帮助。基于IP的速率限制、阻止已知扫描仪的IP地址或用户代理（一些供应商甚至发布此信息以确保其在测试环境中被列入白名单，在生产环境中被阻止）、监控和异常警报都是常见的控制。如果你没有这些控制措施，你应该考虑一下。

Answer 5

合法性（大多）无关紧要

客户有权知道提供其服务的组织是有能力的。然而，这不允许他们做他们知道会影响您业务的事情。

如果你想留住客户，你完全有权与他们谈论他们为自己的行为支付工作成本，和/或在下一次机会提高合同费率。

如果你不想留住客户，所有合同都应该有一个条款，规定任何一方的严重不当行为都会违反合同。假设你已经包含了这个标准功能，你可以当场切断他们的服务。如果他们没有备份，那就是他们的问题。当然值得考虑的是，你是否真的想要一个客户为你的公司做这件事。

Answer 6

没有公司的许可，这是违法的，这就是一切。现在你做什么取决于什么样的客户。我是沃达丰的客户，每月支付30英镑。他们会把我告上法庭要求赔偿损失。如果这个客户负责你四分之一的收入，那么你就去找高层管理人员，与他们交谈，然后由他们决定。

然而，你应该坚持要求被告知客户的具体行为，向其他客户支付赔偿金，外加清理费用，如果他们没有得到许可，我希望解雇负责人。