Consigli di divulgazione responsabile

1

Qualche tempo fa, ho hackerato il sistema integrato Internet della mia scuola, e ho avuto l'intero database (utenti, password, foto e qualsiasi cosa) e il codice sorgente di esso. Ad un certo punto, ho rivelato la password dell'amministratore e, a causa di ciò, alcune persone casuali hanno inserito delle mucche casuali nel sito e sono stato catturato dall'ingegneria sociale.

Il problema ora sono due:

  • Pensano ancora che io abbia appena avuto le loro password e mi dà fastidio che da qualche parte in futuro scopriranno le altre cose che ho ancora.
  • Almeno altre 5 scuole hanno ancora lo stesso problema, e temo di poter essere indicato come responsabile se qualcun altro riesce a riscoprire il vuln.

Quindi, come faccio a gestire questa situazione? Mi tengo tutto per me e aspetto che venga dimenticato quando il sistema diventa obsoleto? O rischio di andare da loro e dirglielo?

Nota: sono stato punito per aver fatto ciò che facevo della mia scuola (sono stato espulso), ma era così. La mia domanda ora è che gli altri siti hanno esattamente la stessa vulnerabilità (lo stesso software dello stesso fornitore) e stavo chiedendo di divulgarlo o meno.

    
posta user35393 09.12.2013 - 22:25
fonte

2 risposte

4

Le azioni che hai descritto costituiscono almeno un crimine.

Riguardo all'etica di questo tipo di divulgazione:

Se avessi scoperto questa vulnerabilità solo per caso e immediatamente segnalata, potresti non aver avuto problemi.

Le tue azioni auto-descritte differiscono tuttavia, in quanto tu non solo hai violato intenzionalmente la sicurezza del sistema e fatto copie di dati sensibili / proprietari, hai anche divulgato credenziali a livello amministrativo a una terza parte senza previa autorizzazione scritta a farlo, e poi è stato "catturato" attraverso l'ingegneria sociale.

Non hai bisogno del nostro consiglio, hai bisogno di un avvocato.

    
risposta data 10.12.2013 - 00:04
fonte
1

Hai un problema legale, non un problema di sicurezza IT. Contatta un avvocato e fai come si dice. Saranno in grado di consigliare su come sarebbe saggio (tenendo conto dei tuoi problemi legali), procedere con la divulgazione responsabile della vulnerabilità ancora presente.

    
risposta data 10.12.2013 - 00:44
fonte

Leggi altre domande sui tag