Nintendo et que le hacker: leçons apprises

La récente affaire de piratage présumé par Nintendo en Espagne invite analyse. Non pas parce que le cas est particulièrement grave ou complexe, mais il montre les problèmes que les entreprises ont, face à un phénomène de plus en plus fréquent: les gens qui trouvent et signaler les erreurs dans les pages ou les services qui créent des problèmes de sécurité.

Dans la plupart des cas, la découverte de la vulnérabilité, il découvre une éthique clairement marqués. Une éthique que les sociétés doivent répondre et, surtout, apprendre à reconnaître. Typiquement rapport une vulnérabilité à l'entreprise, en laissant un délai pour la résolution, et seulement si elles sont ignorées, de le rendre public ou de notifier les autorités, et généralement seulement attendre en retour grâce. Apprenez à différencier entre ceux qui veulent juste dire à l'entreprise d'éviter de nouveaux dégâts et qui cherche à exploiter cette vulnérabilité pour obtenir quelque chose en retour peut enregistrer, dans de nombreux cas, les problèmes qui peuvent avoir une certaine importance à l'image économique et.

En l'espèce, bien documenté par les deux parties par forum populaire ElOtroLado.net , tout indique une question du premier type. Quelqu'un découvre une vulnérabilité dans une page Nintendo . Pour prouver son point, il entre et fait une copie de la base de données utilisateurs. Communiquer avec la compagnie vulnérabilité signalée, et il est presque immédiatement avec un dossier ouvert au tribunal, un communiqué de presse accusant le premier rôle dans une tentative d'extorsion, et une visite au poste de police. Qui a découvert la vulnérabilité ne correspondent pas au profil d'un criminel ou quoi que ce soit. Peut être insuffisante dans sa forme, mais considéré comme un peu d'un "gangster" ou "extorsion" n'est pas crédible, et l'envoyer directement au poste de police , qui est disproportionné. Quelque chose qui peut aider les non-sens qui sont régulièrement dans les médias, que cette récente couverture de XXL hebdomadaire , le magazine dimanche lus, et d'autres médias irresponsables quand ils parlent de piratage en général les peindre comme des sujets grognon, sombre prospectifs masqués ou . S'il vous plaît, un peu de rigueur, mais la vérité va gâcher un bon titre, les pirates sont des gens parfaitement normaux qui ont tout simplement un peu plus curieux que les autres. Et aussi, généralement, ils se déplacent dans le monde.

Celui qui entre en contact avec Nintendo est tout simplement une personne qui trouve quelque chose de la compagnie avait décidé de mal. Une erreur qui peut arriver - même le meilleur parfois scribe vérifier un flou - mais il ne devrait pas. Un exemple clair des révisions des estimations dont l'existence est due uniquement à une erreur par la société. Découvrez qui n'utilise pas des techniques de piratage, à moins que nous comprenons comme «des techniques de piratage" quelque chose de tellement de base comme le remplacement de "www" par "admin" et appuyez sur Entrée sans mettre l'utilisateur et mot de passe . S'il vous plaît que je peux venir à moi et mes compétences techniques sont extrêmement limitées. Connaître la différence entre une personne raisonnable avec des intentions saines d'un criminel cherchant à infliger des dommages à la société ou extorquer de l'argent est quelque chose qui peut nous sauver de nombreux problèmes dans tous les domaines de la vie, et gestion des entreprises est également bien. Devrait examiner la séquence de messages échangés entre la personne qui a découvert la vulnérabilité et de Nintendo pour obtenir une image claire à cet égard et de comprendre les erreurs et la séquence des événements.

Est-performance de l'entreprise? Nous devons aussi comprendre. Il est confronté à un ridicule plus que probable du public, une éventuelle amende de grande valeur et, que vous jetez l'imagination, une extorsion de fonds possible. Alors, l'autre partie n'est pas sans ses défauts. Lorsque vous vous trouvez dans une telle situation, contactez la société est quelque chose qui doit être comprise comme un acte de bonne intention. Vous pouvez simplement mettre la question à l'attention de l' Agence espagnole pour la protection des données et de les laisser faire leur travail. Si vous décidez de contacter la société est d'éviter les répercussions économiques non nécessaires. Mais dans ce cas, nous devons garder à l'esprit que c'est «une faveur», et, par conséquent, adopter une claire et sans ambiguïté à cet égard, le ton qui convient, car il ya la possibilité de confondre vos intentions. Il est important de noter que si la communication se fait par e-mail, pas d'empathie ou de signes extérieurs d'indiquer l'attitude de la personne de l'autre côté, et ce qui peut être écrit dans les yeux de quelqu'un qui se sent menacé manifestement trompeur. Dans ce cas, le ton du message a été inutilement arrogant et l'un des paragraphes de l'email est dangereusement trompeuse:

"Par conséquent, je propose d'ouvrir une négociation pour le dialogue par lequel on arrive à un accord que nous éviter d'inutiles efforts juridiques tant pour les entreprises à faire fonctionner et pour moi personnellement."

Malentendus, une erreur qui peut même justifier les actions de Nintendo. En parlant de «négociation» invité à assumer «extorsion» et même de penser qu'à un moment donné à travers la tête de cette personne, même sans être un criminel, la possibilité d'exploiter la question. En fait, la personne de l'autre côté est susceptible de poursuivre seulement une certaine notoriété ou tout simplement un merci, mais a certainement dû être mauvais: trouver un merci n'est pas une «négociation dialogue", mais simplement un avis de type "et je l'ai signalé un problème qui aurait pu avoir un impact, au moins me donner je vous remercie." Le problème se pose donc lorsque la société est justifié de penser que cette personne était à la recherche de plus, probablement sur un budget: «négocier» une «appréciation» avec le temps? C'est, du point de vue de l'éthique hacker, est irrecevable. Et Nintendo donne lieu à vous dénoncer avec (presque) toutes les raisons du monde et que tout a été «positif» se retrouve enterré dans une simple question de forme. Si la personne a permis à l'entreprise un problème et une perte financière, compensée par une appréciation, une visite à l'entreprise ou même d'espèces peut être un bon et raisonnable. Si, au contraire, nous trouvons de manière fiable une créance pécuniaire, le tribunal est la seule solution possible. L'entreprise ne peut en aucun cas, montrent une volonté de négocier: ce qui est en jeu, c'est les données utilisateur. Par conséquent, avant une attitude équivoque peut être entendu que la société décide de mettre la question en ce moment entre les mains des autorités. D'où le ton alarmiste et jaune, inutilement "décoré" par le communiqué de presse que la société a les médias, est un tronçon. Peut-être que la société aurait pu clarifier les intentions de la personne et a clairement exprimé son refus de négocier sur une réponse mesurée qui ont abordé le problème, mais a décidé contre elle et procéder par voie de plainte.

En fin de compte, le résultat est mauvais pour tout le monde. Une personne qui est certainement loin d'être un criminel se trouve à avoir enregistré un casier judiciaire, et une entreprise qui a fait une erreur face à une amende et un problème d'image que sûrement auraient pu être sauvées. Généralement, une entreprise qui communique qu'il a détecté un problème de sécurité est limitée à celle d'en faire rapport. Il est essentiel, dans l'affirmative, une attention et fournir à la fois un véritable dialogue, comme une résolution immédiate des problèmes. Il s'agit d'une crise qui doit être géré comme tel. Si l'on ignore, ou méprisent se sentir "un monstre", la personne, après avoir donné un délai raisonnable pour l'entreprise de réagir, de rendre public le problème, ou il sera d'informer directement les autorités. Pour une entreprise, avoir une attitude positive de la communauté hacker peut être un atout très intéressant. Et vice versa: pour attaquer cette communauté si vains ou déraisonnable peut mettre la société dans le disparadero à souffrir de nouvelles attaques.

Dans ce cas, donc, les erreurs des deux côtés. Et pour ceux qui à un moment donné peuvent être dans des situations similaires, beaucoup de leçons à apprendre.