Divulgazione responsabile: la società è dedicata alla sicurezza ma non risponde

Question

Divulgazione responsabile: la società è dedicata alla sicurezza ma non risponde

#1 da (1 voti)
#2 da (0 voti)
#3 da (0 voti)

5

Contesto: recentemente ho trovato una vulnerabilità in una webapp per una grande azienda. Hanno una politica completa sulla divulgazione responsabile che ho seguito per evitare problemi legali.
La società si impegna a rispondere entro un periodo di tempo (in questo caso due settimane). Comunque quel periodo è finito e non ho ricevuto alcuna risposta, nemmeno un riconoscimento che sanno che il problema esiste.

Come dovrei gestirlo?

Ci sono altre domande come questa, ma spesso sulla divulgazione a una società senza una politica.

disclosure

posta Str-Gen 20.02.2017 - 13:33

fonte

3 risposte

Leggi altre domande sui tag disclosure

Come utilizzo CORS correttamente con OpenID Connect? E riguardo le password dei router lunghi e i pulsanti di WPS

score 1 · Answer 1

Molte aziende non riconoscono o discutono un problema di sicurezza (nemmeno con il ricercatore) finché non è stata rilasciata una patch e la maggior parte degli utenti ha aggiornato (Apple ne è un buon esempio). Alcune aziende potrebbero inviarti un'email di ringraziamento per la segnalazione, ma non la riconosceranno ulteriormente fino a quando la patch non verrà rilasciata. La divulgazione pubblica è raramente una buona idea a causa del rischio di intraprendere azioni legali contro di voi. Se fossi in te, continuerei ad aspettare e se passeranno più di qualche settimana senza una patch che risolva il problema, contattali ancora e ancora. A un certo punto, si spera che venga riparato. Buona fortuna per aver risolto questa vulnerabilità e grazie per averlo reso responsabile.

score 0 · Answer 2

Completamente documentato e cartaceo traccia tutte le comunicazioni. Prova almeno 3 mezzi diversi per entrare in contatto: e-mail, social media, telefonata, facendogli sapere che vuoi rivelare un problema di sicurezza ma non fornendogli tutti i dettagli in quella fase.

Chiedi ai nomi e ai dettagli di chiunque tu riesca a ottenere una sospensione nel tuo rapporto.

Se ancora non ti rispondono o ti danno la risoluzione, richiedi di avere tutte le prove supplementari che ti seguono seguendo le migliori pratiche e cercando di risolvere questo responsabilmente.

score 0 · Answer 3

Se non hai ottenuto una risposta nonostante la loro politica di riconoscimento, è possibile che un filtro antispam abbia mangiato il tuo messaggio. Cercare un modo alternativo per attirare la loro attenzione sul messaggio può essere utile.

È improbabile che chiamare una linea telefonica generale non ti porti da nessuna parte. L'azienda ha una presenza di sicurezza su Twitter (ad es. @Msftsecurity) o dipendenti con profili relativamente pubblici su Linkedin che è possibile raggiungere?

Inoltre, c'è stato almeno un caso in cui qualcuno ha indirizzato in modo errato un'e-mail a secyre @ microsoft (o somesuch typo). Sei sicuro di aver inviato l'indirizzo giusto?