Il mio college ospita un servizio particolarmente vulnerabile. Li ho avvertiti 4 anni fa. Cosa dovrei fare? [duplicare]

Question

Il mio college ospita un servizio particolarmente vulnerabile. Li ho avvertiti 4 anni fa. Cosa dovrei fare? [duplicare]

#1 da (6 voti)
#2 da (2 voti)

5

Quattro anni fa, ho scoperto che un'applet sul sito Web del mio college invia query SQL direttamente a un'applicazione server. I database contengono informazioni nominali e personali su studenti e voti, e forse più (SSN?), Ma non sono sicuro perché non ho provato nulla, perché sono una brava persona.

Nel dicembre 2010, li ho avvertiti delle potenziali vulnerabilità e mi hanno ringraziato. So per certo che il CTO è stato avvertito.

Quattro anni dopo, l'applicazione è ancora attiva. Le meccaniche non sono cambiate e l'acquisizione (deoffuscata) dei pacchetti mostra ancora le richieste SQL che arrivano al server dal client. potrebbe essere che il server in qualche modo li controlli contro un elenco di richieste valide o qualcosa del genere, ma non posso esserne sicuro, e ci sono probabilmente alcuni collegamenti che non voglio rischiare di innescare senza autorizzazione formale, che non è qualcosa che mi aspetto di ottenere.

Che cosa dovrei fare?

ethics disclosure

posta Concerned Kid 04.11.2014 - 21:41

fonte

2 risposte

Leggi altre domande sui tag ethics disclosure

Criptare e autenticare il traffico localhost? Elenco di revoche di certificati

score 6 · Answer 1

Se non sei più uno studente in quel college, allora potresti citarli per non aver applicato le dovute precauzioni nella gestione dei tuoi dati personali. Tecnicamente potresti farlo anche se sei ancora uno studente lì, ma non essere più uno studente significa che avranno un tempo di rappresagliamento più difficile se sono così disposti.

Il punto cruciale qui è che essere una potenziale vittima ti dà una ragione accettabile per mettere il naso in queste faccende. Altrimenti sarebbe fin troppo facile segnalarti come un Evil Hacker ™ e gestire il problema gettandoti nella fossa degli avvocati, invece di riparare il software.

score 2 · Answer 2

Beh, non so da dove vieni, ma nei Paesi Bassi abbiamo qualcosa chiamato "National Cyber Security Center" che in realtà è una specie di CERT. Oltre a problemi di sicurezza nei sistemi governativi, puoi anche avvertirli in merito a problemi di sicurezza in altri sistemi vitali. Se vivi nei Paesi Bassi dovresti dare un'occhiata a questo: link se vivi da qualche altra parte ti consiglierei di prendere un'occhiata al sito web del CERT governativo del tuo paese per vedere cosa dicono riguardo i difetti di sicurezza e la divulgazione responsabile nei sistemi di terze parti.

In questo sito web: link puoi trovare un elenco di CERT in tutto il mondo con i loro siti web.