Alcune settimane fa ho scoperto che qualcuno ha pubblicato per sbaglio i dettagli dell'account amministratore di un determinato sito Web su un wiki pubblico. Poiché ho trovato che i dati fossero reali (cioè potevo accedere al loro sito Web gestito da Wordpress), ho fatto immediatamente quanto segue: Ho rimosso i dati sensibili da quella wiki, ho chiesto all'amministratore della wiki di rimuovere permanentemente tutte le revisioni di quella pagina e ho scritto un'email all'amministratore per informarlo e chiedergli di cambiare la sua password il prima possibile.
Per peggiorare le cose, il problema di sicurezza non riguarda solo il loro sito web, ma anche i dati personali dei loro quasi 2000 utenti. Per finire, il sito web riguarda l'organizzazione di eventi IT di alto profilo (compresi eventi sulla sicurezza IT).
Ora sono trascorse tre settimane e non è successo nulla (cioè non ho ricevuto risposta né l'amministratore ha modificato la password). Se fossi l'amministratore, so cosa dovrebbe essere fatto. Ma come gestire questa situazione quando l'amministratore non gestirà il problema professionalmente? Finora, ho inviato loro solo una seconda email oggi.
Posso pensare a tre cose da fare, ma non sono sicuro se sono legalmente al sicuro qui?
- Invia un'email a tutti gli utenti per informarli del problema.
- Scrivi un post sul blog nella loro home page come "Questo sito Web è stato compromesso". (Sono talmente tentato di farlo. Ritengo che sia moralmente soddisfacente, poiché non cambierei nient'altro e sento che la loro base di utenti deve conoscere il problema. Ma non sono sicuro di poter essere nei guai se lo facessi che?)
- Informa la Federal Trade Commission a riguardo. (Il sito Web è basato negli Stati Uniti.)
Hai qualche consiglio su cosa sono legalmente e moralmente autorizzato e obbligato a fare?