Come faccio a segnalare una vulnerabilità a una grande organizzazione che non crede che abbia un problema?

Naviga le tue risposte
10

Questo problema è più politico che tecnico.

L'organizzazione ha molti computer che si collegano tramite browser web a un database centrale. I clienti vengono regolarmente lasciati incustoditi con accesso fisico ai terminali per oltre 15 minuti alla volta. Ho riferito che sono vulnerabili ai keylogger hardware. La risposta ufficiale all'IT è stata: "Siamo consapevoli di questa possibilità e abbiamo una soluzione: ottenere le password non farebbe bene a un utente malintenzionato". Ma i superiori non gli permisero di dire altro - sicurezza attraverso l'oscurità.

Il punto è: penso che stiano bluffando. Non so quale sia la loro soluzione, ma ci sono centinaia di vettori di attacco aperti quando si ha accesso fisico. Non sono davvero preoccupati perché il rischio (probabilità di attacco) è abbastanza basso da superare il costo del miglioramento della sicurezza fisica? Come faccio a farli ascoltare? Vale anche la pena?

    
posta Terrel Shumway 28.08.2013 - 23:46
fonte

2 risposte

9

Dato che sei un cliente dell'azienda, potresti darti qualche altra possibilità. Alcune cose che vale la pena considerare:

  • Scrivi una lettera al CEO della compagnia. Fai una copia della lettera e inviarlo alla persona con cui hai parlato e al loro manager.
  • Avvisa la stampa se pensi di poter trovare qualcuno a cui interessare storia.
  • Invia un reclamo al Better Business Bureau (se ti trovi negli Stati Uniti) e invialo al CEO
  • Porta la tua attività da qualche altra parte e spiega loro perché lo stai facendo.

Onestamente penso che ci siano davvero poche possibilità che funzionino, ma sembra che ti stanno facendo splendere adesso, quindi le tue opzioni sono limitate.

    
risposta data 29.08.2013 - 01:11
fonte
2

L'hai segnalato. Non è tua responsabilità farli ascoltare. Alla fine, è la loro azienda, i loro rischi, i loro costi per risolvere il problema.

Hai fatto lo sforzo appropriato: non hai alcuna leva per fare ulteriori sforzi.

    
risposta data 29.08.2013 - 00:37
fonte

Leggi altre domande sui tag

Controllare i registri per l'utilizzo dell'uso di Heartbleed? Metodo di offuscamento della memorizzazione della password reversibile per le credenziali di accesso di terze parti