Come si indirizza un'ingegneria sociale o una debolezza / preoccupazione software in un'azienda o in un'organizzazione?

Sono d'accordo sul fatto che irrompere sia una cattiva idea.

Inoltre, potresti considerare che mentre sei un cliente dell'organizzazione, anche la pubblicazione pubblica ha un valore limitato, dal momento che eventuali effrazioni che si verificano potrebbero danneggiare anche te.

Sono d'accordo che la tua migliore scommessa immediata è quella di ritirare la tua affiliazione e trovare un'azienda con migliori pratiche di sicurezza ... ma rimango nei limiti della domanda e presumo che questa non sia un'opzione.

Una buona pratica è dare la caccia alla persona giusta e dirgli della tua preoccupazione. La persona giusta in una grande organizzazione può essere molto difficile da trovare, poiché è molto probabile che NON sia il tipo che risponde al telefono con l'assistenza clienti. Le opzioni includono:

• tracciare le catene di gestione dell'assistenza clienti finché non trovi qualcuno con un titolo abbastanza serio da poterti prendere sul serio
• ricercare la direzione aziendale della società - in un'azienda abbastanza grande, dovrebbe esserci un responsabile della sicurezza o un titolo simile che abbia pari potere per la persona responsabile dell'IT. Spesso queste persone non hanno facile trovare le informazioni di contatto pubblicate pubblicamente, ma si potrebbe provare una lettera formale come un cliente interessato. Fai attenzione alla tua formulazione che si tratta di una richiesta di assistenza, non di una minaccia.
• se tu onestamente non riesci a raggiungere l'azienda, ci sono spesso agenzie governative che coprono specifici settori del diritto - varia dall'industria all'industria. E cose come il Better Business Bureau.
• se il problema è davvero eclatante (e illegale) e la società è abbastanza grande, potresti mantenere un avvocato e presentare un'azione legale collettiva.

La maggior parte di questi prenderà molto tempo. Probabilmente fallirai nei primi tentativi di ottenere aiuto. Questa può essere una lotta importante. Ma se sono i tuoi dati e non hai un'altra opzione per trovare una risorsa migliore, questo tipo di battaglia potrebbe essere l'opzione giusta.

YMMV - la mia esperienza è centrata negli Stati Uniti. Non posso dire che altri governi offrano lo stesso insieme di protezioni.

Per l'ingegneria sociale, è piuttosto difficile, ma comunque puoi chiedere che qualsiasi comunicazione con te debba essere (per esempio) via email dovrebbe usare PGP o usare un codice di accesso specifico per le telefonate.

Ora per quanto riguarda gli aspetti tecnici, è abbastanza facile dove sei effettivamente un cliente e hai il prodotto sul tuo sito. In tal caso, sì, chiedi di valutare il tuo prodotto tramite un consulente di sicurezza. I problemi che trovi li riportano dicendo che hai bisogno che vengano sistemati così come sono stati identificati.

Per quanto riguarda le soluzioni cloud, come gli account universitari, l'online banking, ... è necessario contattare il secure@bank/univ.com e chiedere loro di risolverlo entro un certo tempo. Informali gentilmente, che in caso di mancata risposta, sarai obbligato a contattare la stampa (non devi farlo, solo minacciare). Sicuramente riceverete una risposta, ma ciò non significa risposta positiva, ma una valutazione sulla possibilità o meno di correggerla. Dopo di che è un caso per caso.