Circa 8 mesi fa ho trovato e segnalato un serio problema di sicurezza che circonda un sito Web che utilizzo. Questo sito contiene informazioni personali e protette per l'identificazione personale.
Ho chiamato il supporto tecnico dell'azienda che poi mi ha trasferito al team di sviluppo. Ho dato loro istruzioni molto specifiche su come riprodurre l'errore. Questo errore consentirà a una persona non autorizzata di assumere il controllo di un account legittimo e di avere accesso fino ai limiti dell'account compromesso.
Hanno aperto un bug report e mi hanno detto che avrebbero esaminato il problema. Circa un mese dopo, ricevo un messaggio che il team sta ancora esaminando la situazione.
Passano altre due settimane e li chiamo per cercare di ottenere un aggiornamento. Ancora una volta, mi è stato detto che stanno lavorando al problema, ma non possono fornirmi alcun dettaglio (cosa che capisco perfettamente.)
Oggi ho testato la vulnerabilità e ho scoperto che è ancora attivo.
So che sono in procinto di ricostruire il loro software. Alcuni dei loro clienti possono passare al nuovo sistema perché quella parte del sistema è più o meno completa. Gli altri clienti non possono perché non tutte le funzionalità necessarie sono complete.
È un requisito per me utilizzare questo software al lavoro per archiviare le informazioni di cui sopra.
Non so che tipo di problemi potrebbero incontrare il mio datore di lavoro o me stesso se il sistema fosse compromesso.
Quali sono i prossimi passi etici e legali da prendere?