Benvenuti nell'enigma del settore della sicurezza e perché è più redditizio essere un cattivo che un buon.
Ricorda questo su "essere citato in giudizio" ... Chiunque può fare causa a qualcuno - anche se non c'è nulla di giustificato da citare in giudizio. Se un'entità ha denaro per citare in giudizio l'entità che non ha denaro per combatterlo perde, quasi automaticamente. 50% del tempo o più, se vieni denunciato per alcune di queste cose, devi anche combattere allo stesso tempo le autorità criminali o regolamentari statali o federali (o equivalenti del tuo paese).
Questo è il motivo per cui l'insicurezza regnerà sempre, e perché sono sicuro che nessuno vorrà ripararlo.
Qui negli Stati Uniti, se persino inavvertitamente trovi un problema e lo comunichi al proprietario di un prodotto potresti trovarti di fronte alla loro collera civile (legale), potresti trovarti di fronte a DMCA e altri. Cosa intendo per inavvertitamente? Potrei fare il debug di quello che penso sia un problema con il mio computer locale che agisce in modo vago e decompilabile, o il codice sorgente di una terza parte (dove trovo il problema). Ora ricorda che stanno causando il problema alla mia macchina e sto cercando di capirlo ... Non appena lo trovo, e lo riferisco, potrei trovarmi in quest'area grigia.
E non sono nemmeno "hackerato" di per sé.
Quindi le regole sono state scritte male e male per consentire la divulgazione pubblica. Penso che sia per questo che le organizzazioni che vogliono trovare bug e problemi di sicurezza hanno creato programmi di "bug bounty" molto aperti e chiari e lo fanno con un approccio molto "open kimono".
Quello che ho visto lavorare in assenza di quelli, è fare quello che molti ricercatori fanno ... creare account anonimi su cui puoi riportare le informazioni alle organizzazioni e non prenderne il merito fino a che dopo che è stato curato - immagino che sia a meno che non si stia hackerando Facebook. Sembra che tutti siano sulla faccia di Facebook a hackerarlo in modo aggressivo e pubblico:).