Recentemente ho visitato il sito Web per una grande azienda rispettabile che pubblica uno script dannoso (è un knockoff di una delle principali app di analisi, con un errore di battitura poco chiaro nell'URL di origine). Inoltre, la società serve un mercato di nicchia, e probabilmente non ha un grande team di tecnici, quindi il loro sito Web non è stato impostato con HTTPS.
Fortunatamente, il mio software antimalware ha bloccato lo script, quindi ho deciso di dare un'occhiata almeno alla pagina di destinazione per vedere se c'è qualche tipo di contatto amministrativo (o anche di supporto).
Non avendo trovato uno e non avendo trovato nulla di utile dopo aver fatto una query WHOIS, ho notato che accettano i messaggi di Facebook tramite la loro pagina ufficiale.
È generalmente rischioso informare una società di una vulnerabilità utilizzando tali canali non ufficiali?