Cập nhật sau "Carrot disclosure": Những diễn biến xoay quanh Forgejo
Sau bài viết trước về phương thức công bố lỗ hổng "Carrot" đối với Forgejo, tác giả đã đối mặt với nhiều phản ứng trái chiều từ cộng đồng, bao gồm việc bài đăng bị gỡ trên Mastodon và các tranh luận về đạo đức an ninh. Cuối cùng, tác giả đã quyết định gửi báo cáo chính thức kèm lời xin lỗi và các bằng chứng khai thác cho đội ngũ bảo mật của Forgejo.
Kể từ khi tôi công bố phương thức "Carrot disclosure" (công bố lỗ hổng theo kiểu củ cà rốt) liên quan đến Forgejo cách đây hai ngày, đã có rất nhiều sự việc diễn ra.
Bạn bè của tôi đã bị liên hệ để "nói chuyện với tôi từ một vị trí tin tưởng", hoặc đơn giản là để họ biết rằng tôi là một người khủng khiếp như thế nào — điều mà họ thấy khá hài hước. Bài đăng (toot) dẫn đến bài viết blog đã bị gỡ khỏi infosec.exchange bởi một người kiểm duyệt quá khích sau khi bị báo cáo nhiều lần bởi nhiều người. Do đó, tôi đã chuyển sang mastodon.social, nơi bài đăng cũng bị gỡ với lý do là "Công bố thiếu trách nhiệm". Vì vậy, tôi quay lại infosec.exchange và bài đăng đã được khôi phục. Trong thời gian chờ đợi, bạn bè đã gửi cho tôi lời mời tham gia các máy chủ Mastodon khác nhau, điều mà tôi rất trân trọng.
Nhiều cuộc tranh luận vô tận về việc công bố lỗ hổng đã nổ ra. Một số người bạn viết mã khai thác (exploit) của tôi phàn nàn rằng tôi đã thu hút sự chú ý không mong muốn đến một mục tiêu quá dễ dàng. Chính phủ Hà Lan đã triển khai một kho phần mềm chủ quyền dưới dạng một phiên bản công cộng của Forgejo. Mọi người trên Mastodon đều có ý kiến, đặc biệt là về việc tôi nên làm gì với các lỗ hổng mình tìm thấy, và họ thể hiện quan điểm rất mạnh mẽ. Tôi cũng bị gọi bằng những cái tên rất thô thiển.
Chính sách bảo mật của Forgejo đã bị chế giễu rộng rãi. Tôi nhận được một email thiếu tế nhị từ đội ngũ kiểm duyệt của Forgejo để đáp lại bài đăng blog cũng thiếu tế nhị của mình, điều mà tôi thấy khá hài hước.
Tôi đã học được rằng vai trò của đội ngũ bảo mật Forgejo là "chăm sóc các lỗ hổng bảo mật và xử lý các vấn đề bảo mật nhạy cảm được báo cáo cho [email protected] bằng cách mã hóa". Việc làm bất cứ điều gì chủ động không nằm trong phạm vi công việc của họ.
Các thực thể khác nhau, bao gồm cả những đơn vị có đội ngũ bảo mật, đã xem xét lại đánh giá của họ về Forgejo là gì và không phải là gì, và đây là mục tiêu chính của bài viết blog trước đó.
Tuy nhiên, cũng đã có những cuộc trò chuyện mang tính xây dựng và thiện chí. Có vẻ như việc thử nghiệm các phương thức công bố lỗ hổng kỳ lạ là không được ủng hộ. Vì vậy, tôi đã kết thúc bằng việc gửi một email đến đội ngũ bảo mật Forgejo, bao gồm: một lời xin lỗi, một chút lý giải cho việc tiếp tục với "Carrot disclosure", các khuyến nghị về những gì cần củng cố/kiểm tra lại, và một loạt các mã khai thác/bằng chứng khái niệm (PoC) có chú thích kèm theo. Chúng ta hãy chờ xem mọi việc diễn ra như thế nào.
