In quali casi devono essere preparate le applicazioni per la forza bruta?

this is illegal anyways––should they still care about my report?

Molto.

Per dare una di una serie ormai lunga di questi esempi, prendi in considerazione (uno dei) l'hack di Yahoo, per esempio 1 miliardo di account hack segnalati alla fine del 2016 (vedi anche copertura di Krebs ).

Per comprendere rapidamente perché "questo è illegale comunque" non è una risposta legittima:

• Yahoo ha rubato alcuni dati sensibili (in questo caso, email degli utenti, password e forse più), ma Yahoo ha ancora il dovere di annunciare (e indagare) l'hack
• questo dovere si estende ai suoi rendiconti finanziari, come spiegato nel footer di uno dei loro comunicati stampa sull'impatto sugli utenti :

More information about potential risks and uncertainties of security breaches that could affect the Company’s business and financial results is included under the caption “Risk Factors” in the Company’s Quarterly Report on Form 10-Q for the quarter ended September 30, 2016, which is on file with the SEC and available on the SEC’s website at www.sec.gov.

• a seconda del Paese, l'obbligo di segnalazione può anche essere legato a multe e altre conseguenze legali o finanziarie ( Europa , ad esempio).

Tutto ciò tende a concentrarsi su informazioni di identificazione personale (PII), ma nel caso di un'università, la perdita o il furto della ricerca (in particolare quando non protetto da brevetti) potrebbe influire sullo stato finanziario dell'università. Per non parlare del fatto che le università tengono anche le PII, quindi è necessario indagare su una violazione per determinare quale tipo di dati potrebbero essersi verificati.

Non sono un avvocato, ma ci sono così tanti casi in cui, per lo meno, l'inchiesta sarebbe giustificata (se non fosse necessario per determinare le conseguenze legali), che penso che il rapporto sarebbe (presumendo che fosse sentito come affidabile e preciso) prestata attenzione.

Se fornisci segnalazioni errate (o anche eccessivamente rumorose), potrebbe ignorare il tuo rapporto. Ma sarei sorpreso se le prove conclusive di una violazione venissero ignorate.

Non è illegale avere una cattiva sicurezza. Ma di solito, le organizzazioni che gestiscono informazioni private partecipano anche ad attività che richiedono una sorta di conformità normativa.

Ad esempio, negli Stati Uniti, un'università spesso gestisce le informazioni della carta di credito, il che significa che devono essere conformi allo standard PCI-DSS. Se gestiscono informazioni mediche, devono essere conformi HIPPA. Se gestiscono prestiti agli studenti, devono essere conformi alla FFIEC. Se gestiscono le informazioni governative, potrebbero dover essere conformi a ISO 27000. Ecc. Ognuno di questi include standard per la sicurezza informatica. Alcuni di essi sono molto specifici, ad es. specificare che le password devono essere sottoposte a hash e che i meccanismi di blocco (per impedire la forza bruta) sono in posizione.

Se un'università non è conforme, potrebbe non essere necessariamente illegale (non è negli Stati Uniti) ma potrebbe avere conseguenze per loro, ad es. Visa potrebbe non consentire loro di elaborare i pagamenti.

Se ritieni che un'organizzazione non sia conforme, puoi inviare un'email e chiedere che venga indirizzata al responsabile della conformità.