TL; DR - Essere professionali e umili farà molto. Essere segreto, orgoglioso o malizioso ovviamente non finirà così bene. Se lavori tranquillamente e in privato con loro, è probabile che facciano lo stesso.
Sembra quasi tagliare e incollare su come ho iniziato a trovare problemi con la sicurezza della mia università. La mia università stava inserendo l'ID dello studente in un cookie ed è per questo che ti sei registrato come. Se hai manipolato il cookie, hai eseguito l'accesso come chiunque tu volessi. È stata la scoperta che mi ha portato ad approfondire la loro sicurezza. Avevano anche un server di posta non sicuro che avrebbe inoltrato qualsiasi cosa senza autenticazione. I nomi file delle immagini nella directory della scuola erano solo una codifica strana dell'ID di quell'allievo . A un certo punto, ho potuto cercare un SSN e ottenere il nome di uno studente.
Ho trovato questi bug un po 'alla volta. È iniziato con il senso di "Le mie informazioni devono essere sicure e non lo sono" e vorrei sottolineare l'ultima pecca che ho scoperto per l'IT. Dopo circa la terza volta che ho riferito qualcosa, ho iniziato a sentirmi arrabbiato e superiore al dipartimento. Ogni due settimane sarei nell'ufficio del Vicepresidente delle tecnologie, sottolineando un nuovo modo per ottenere SSN o documenti finanziari degli studenti fin dal 1995 o qualche tecnica di stalker per determinare l'intero programma di classe di qualcuno (compreso il voto di lettera in quella classe ). Anche il vicepresidente cominciò a diventare ostile con me. Ammetto che forse non ho avuto il miglior atteggiamento dopo il 6 ° mese. Ad un certo punto sono stato espulso per circa 3 settimane quando hanno sentito che stavo cercando di decodificare la codifica (link sopra). Volevo mostrare loro quali buchi erano vulnerabili quando un individuo non lavorava con loro e loro erano al buio. Alla fine lo abbiamo risolto, ma c'era un sacco di rabbia, scartoffie e ego in giro nel frattempo da entrambe le parti.
Il punto che sto cercando di fare è che il dipartimento IT abbia lavorato con me nonostante io fossi un cretino. Hanno risolto i problemi e la scuola è meglio per questo. Finché sono stato in anticipo sulle mie intenzioni e aperto su quello che stavo facendo, non mi hanno minacciato o ostacolato. Non è stato fino a quando stavo lavorando in segreto che hanno preso provvedimenti disciplinari. Ero in cima alla lavagna con cose che potevano essere assolutamente considerate hacking, inclusi attacchi per iniezione, ingegneria sociale, reverse engineering, sniffing dei pacchetti, scansione delle porte, exploit software personalizzati e altro ancora. Dal momento che non ho mai cambiato nulla e sempre (beh ... di solito) ho riferito le mie conclusioni in silenzio e direttamente a loro, hanno lavorato con me. Non ho dubbi che se non fossi un asino non sarei stato espulso temporaneamente.