Questo è un evento quotidiano non degno di un CVE.
Sembra che in questo caso potrebbe essere un semplice errore, tuttavia i seguenti sono passi utili che puoi prendere o almeno considerare per qualsiasi situazione in cui siano state scoperte credenziali.
Contatta gli utenti interessati, se necessario: il modo migliore per aiutare se si trattasse di un dump pubblico di password sarebbe l'invio di una singola e-mail BCC a ciascuna delle persone colpite lasciandoli sapere che le loro credenziali sono state divulgate e che dovrebbero cambiare rapidamente tutte le loro password e potenzialmente cercare prove di abuso di queste credenziali. Non copiare le informazioni o ridistribuirle, semplicemente invia un link a dove è stato pubblicamente esposto o dì loro il nome del sito.
Contatta il proprietario e gli account di abuso del fornitore di servizi: Allo stesso modo, se sai come sono state divulgate / perse le informazioni sarebbe sicuramente utile contattare l'organizzazione o le organizzazioni coinvolte che hanno perso le informazioni in modo possono gestirlo in modo appropriato. Per fare ciò basta inviare una e-mail a [email protected] e facoltativamente a [email protected] o altro indirizzo di contatto pubblicizzato.
Non firmare alcuna NDA in questo processo. Alcune aziende usano le NDA per evitare che vengano divulgate, ma è un problema brutto, non farlo. Dichiara che stai solo notificandoli del problema e non vuoi essere coinvolto.
Contattare gli utenti interessati è molto utile semplicemente perché alcune organizzazioni quando vengono contattate per la perdita di tali dati non fanno letteralmente nulla e non dicono mai agli utenti interessati (a seconda del paese in cui è ospitato potrebbe non violare alcuna legge locale). Almeno questo offre agli utenti la possibilità di proteggersi da ulteriori danni.
Ricorda che alcuni dump delle password sono falsi: quanto segue non si applica alla tua situazione specifica ma tieni presente che a volte le persone postano "dump delle password" falsi su siti come pastebin.com. Quindi usa il linguaggio appropriato quando scrivi le tue e-mail "Sembra che qualcosa possa essere successo ...". ecc ...
Supponendo che ciò non sia stato accidentale, puoi richiedere cortesemente che le informazioni vengano rimosse ma nel caso di un dump della password se è stato reso pubblico altrove l'utente potrebbe non avere alcun obbligo di rimuoverlo (non il tuo situazione lo cito solo per altri). Ancora una volta le password scaricate on-line sono un evento comune e ci sono molti siti che ospitano milioni di password esposte da siti compromessi.