Come gestire i problemi di sicurezza riscontrati sui siti Web di terzi?

Naviga le tue risposte
5

Qualche tempo fa ho scoperto un difetto di sicurezza riguardante la politica della password del mio fornitore di telefoni cellulari che fondamentalmente rende il sito Web, che include l'accesso a informazioni personali e fatture, vulnerabili a brute-forzanti (in un tempo significativamente breve) e DoS . L'ho segnalato al loro servizio clienti, ma a loro non importava. Sono stato contattato da un tecnico che mi ha detto che non è un grosso problema ma lo esamineranno. Ora sono passati mesi e non è cambiato nulla.

La mia domanda è: Ci sono delle buone pratiche su come affrontare questa situazione (specialmente costringendo la compagnia a risolvere il problema e proteggere gli altri) senza che io venga denunciato? Se pubblicare il problema è un'opzione: dove dovrei farlo? (Non ho un blog, quindi non è un'opzione.)

    
posta 23785623985 02.12.2015 - 09:25
fonte

1 risposta

5

Puoi segnalarlo al CERT utilizzando il seguente modulo. A seconda della vulnerabilità, CERT contatterà il venditore per suo conto:

link

Ecco una citazione dal link sopra per il tuo riferimento:

If you believe you have found a security vulnerability that has not been resolved, please complete the following form. As our vulnerability disclosure policy explains, we send information submitted in vulnerability reports to affected vendors. By default, we will share your name with vendors and publicly acknowledge you in documents we publish. If you do not want us to share your name or publicly acknowledge you, select the appropriate responses in the form.

Puoi anche fare riferimento al criterio CERT per le divulgazioni qui:

link

Se CERT contatta il venditore, la vulnerabilità verrà divulgata dopo 45 giorni per il primo paragrafo dal link sopra:

Vulnerabilities reported to the CERT/CC will be disclosed to the public 45 days after the initial report, regardless of the existence or availability of patches or workarounds from affected vendors.

    
risposta data 02.12.2015 - 09:51
fonte

Leggi altre domande sui tag

Quali sono i problemi con il caricamento delle chiavi crittografate lato client su keybase.io? Come decifrare il traffico SSL con uno sniffer di pacchetti quando ho la chiave privata?