Questa è più o meno una continuazione della mia domanda precedente: Come studente, come faccio in modo sicuro e responsabile rivelare un serio problema di sicurezza in un ambiente scolastico?
Più di quattro mesi dopo aver inviato la mia lettera anonima che illustrava questo problema di sicurezza, ho controllato attentamente se la vulnerabilità che ho segnalato esistesse ancora, e lo fa ancora nella sua interezza. Sono state apportate alcune modifiche IT non correlate, ma queste sono state rivolte principalmente al personale (come l'introduzione di BitLocker).
Tra il momento in cui l'ho segnalato e ora, ho sentito da un amico intimo (che proveniva da una scuola diversa nella stessa zona di me) che aveva segnalato un diverso problema di sicurezza e che aveva cercato di segnalarlo al suo computer insegnante di scienze, che a sua volta lo ha segnalato al dipartimento IT. Piuttosto che rispettare l'anonimato dello studente, tuttavia, il responsabile IT ha minacciato l'insegnante con il suo lavoro (non si sa come avrebbe fatto a svolgere questa minaccia) se non avesse divulgato l'identità dello studente che ha trovato l'exploit di sicurezza, e stava anche minacciando lo studente con azione disciplinare o arresto. Indipendentemente dall'accuratezza della storia, ho sentito di aver fatto la cosa giusta riportandola tramite una lettera anonima e indipendente.
Tuttavia, il problema non è stato risolto affatto. La lettera è stata inviata a due diversi dipartimenti al fine di garantire che il problema fosse sentito strong e chiaro e che sarebbe stato fatto un piano per risolverlo. Ma niente di tutto questo è successo. In effetti, era come se una persona leggesse la lettera e convinse l'altra a buttarla via.
L'exploit rimane pericoloso, ea questo punto sono quasi sicuro di non essere l'unico a saperlo.
Potrei inviare un'altra lettera anonima, spiegando ulteriormente le implicazioni di lasciare questo exploit allo scoperto. Ma sarebbe difficile fare qualsiasi altra cosa in quanto sarebbe una minaccia per loro di agire "o altro". Mi trasformerei in un cappello grigio (er).
Non posso sottolineare abbastanza l'importanza di risolvere questo problema di sicurezza prima che accada qualcosa di grosso. Ma non posso minacciarli di fare nulla, perché ciò implicherebbe la mia volontà di fare qualcosa di sbagliato. Quali sono le mie opzioni?