Sono d'accordo con TheJulyPlot che i problemi di sicurezza dovrebbero essere portati al team IRT / CSIRT / SOC / CERT responsabile della sicurezza del sito. Una piccola scuola potrebbe non avere alcuna posizione dedicata, mentre un università sicuramente lo fa.
L'obiettivo è che queste persone siano entrambe (a) tecnicamente competenti a capire cosa stai segnalando e (b) a sapere che in realtà ti aiutano , pur essendo in grado di indirizzarlo a un altro destinatario preciso se necessario (ad esempio, potrebbe essere necessario correggere l'errore effettivo da un team di sviluppo separato).
Se non sai qual è il team che gestisce i problemi di sicurezza del tuo istituto o come contattarli, puoi salire di un livello: contatta il CERT nazionale o -per un'università- un CERT per la rete di ricerca a cui appartiene .
Ad esempio, a seconda di dove (e dell'entità) si basa, è possibile notificare negli Stati Uniti il US-CERT , nel Regno Unito JANET CSIRT , in Spagna INCIBE-CERT , in Kazakistan il KazAcad CSIRT ...
Non esiste una guida completa dei team, ma generalmente puoi cercare il CSIRT più pertinente per il tuo caso su FIRST oppure -per i CERT europei- Presentatore attendibile .
Si prega di notare che ognuno di essi avrà il proprio collegio elettorale. Un CERT nazionale per il tuo paese può gestire il rapporto reindirizzandolo all'università, se necessario, ma il CSIRT per una società privata completamente indipendente potrebbe scartarlo.
On (quasi?) ogni caso, è possibile inviare un rapporto dell'incidente via email (se non ne trovi uno elencato, cerca la loro sezione RFC 2350). Il che significa che, per un livello base di anonimato, puoi semplicemente creare un nuovo account di posta vocale e utilizzarlo per inviare il rapporto sull'incidente. Infatti, potresti addirittura saltare la creazione di una nuova email e inviarti dal tuo solito indirizzo email (potresti anche menzionare sul rapporto che preferisci non rimanere anonimo). Se non hai commesso alcun crimine, è improbabile che a qualcuno importi chi sei veramente. Piuttosto che "invia e dimentica", ti consiglio di controllare quell'e-mail (chiedi loro un aggiornamento se necessario). Puoi ringraziarti facilmente e farti sapere che lo gestiranno da ora in poi, ma potrebbero anche richiedere maggiori informazioni da te o chiederti di inviarlo a un altro team.
Ti consiglio anche di segnalarlo non appena possibile dopo la scoperta, al fine di ridurre al minimo il rischio di ritorni di fiamma. Le persone sbagliate potrebbero presumere che qualunque cosa tu abbia scoperto, l'avresti abusato e sei un malvagio hacker, non importa quanto possa essere sciocco l'effettiva vulnerabilità. Tuttavia, prendendo prontamente l'azione per averlo risolto (e in realtà non averlo abusato!). Probabilmente ci sono alcuni registri che potrebbero essere controllati. Se scoprono di aver provato la vulnerabilità (anche se impiegano mesi per trovarla da soli), che l'hai fatto 1 ora fa, prima che ricevessero un rapporto, le e-mail dipingono un'immagine completamente diversa rispetto a quando hai scoperto che l'hai scoperto 6 mesi fa . Anche se le tue comunicazioni per qualche motivo non le raggiungevano (supponiamo ad esempio che la loro casella di posta abusiva fosse piena!), Il record stesso sul provider di posta elettronica (cioè la posta inviata) che rivela la vulnerabilità sarà utile, nel caso tu ne abbia bisogno .