È rischioso segnalare un problema di sicurezza a un'azienda o un'organizzazione tramite canali non dedicati?

4

Recentemente ho visitato il sito Web per una grande azienda rispettabile che pubblica uno script dannoso (è un knockoff di una delle principali app di analisi, con un errore di battitura poco chiaro nell'URL di origine). Inoltre, la società serve un mercato di nicchia, e probabilmente non ha un grande team di tecnici, quindi il loro sito Web non è stato impostato con HTTPS.

Fortunatamente, il mio software antimalware ha bloccato lo script, quindi ho deciso di dare un'occhiata almeno alla pagina di destinazione per vedere se c'è qualche tipo di contatto amministrativo (o anche di supporto).

Non avendo trovato uno e non avendo trovato nulla di utile dopo aver fatto una query WHOIS, ho notato che accettano i messaggi di Facebook tramite la loro pagina ufficiale.

È generalmente rischioso informare una società di una vulnerabilità utilizzando tali canali non ufficiali?

    
posta Jules 12.06.2016 - 16:07
fonte

1 risposta

2

Si scopre che in questo caso, contattandoli per mezzo non ufficiale (Facebook private messaging) ha prodotto una risposta entro circa 48 ore seguita da una patch rapida per rimuovere lo script iniettato.

Tuttavia, non posso fornire una risposta generale, non aneddotica a questa domanda.

    
risposta data 17.06.2016 - 17:29
fonte

Leggi altre domande sui tag