Il sito web della scuola espone root FS, dove segnalare?

1

Stavo cercando su google qualche codice di dispositivo PCI e sono incappato in un file /sys indicizzato su un server web. Girando un po ', sembra che il filesystem di root completo sia esposto attraverso /uploads/ls . Quindi posso presumere che questo sito sia violato?

Sono un po 'preoccupato, visto che si tratta di una scuola elementare e espone anche (penso solo normali) le immagini di bambini al mondo esterno. Devo segnalare questo alle autorità, o solo l'amministratore del sito?

Preferisco non condividere l'URL del sito web, per il rispetto della privacy dei bambini.

    
posta Tim 07.03.2016 - 14:37
fonte

1 risposta

0

Mettiti in contatto con la scuola con ogni mezzo necessario. Ci sarà sicuramente un modulo "contattaci" sul sito web; in caso contrario, prendi il telefono e fagli un favore e chiamali. Anche se si trovano in un paese diverso, le chiamate VoIP sono piuttosto più economiche oggi e sono sicuro che puoi permetterti il costo.

Spiega la situazione con buoni dettagli, chiarendo che la tua intenzione non è quella di esporre la privacy di nessuno né di chiedere un riscatto, ma che stai facendo il tuo dovere come cittadino responsabile. Questo perché spesso i non-techie tendono a farsi prendere dal panico e chiamano la polizia che ti indica il colpevole.

Se sei in grado di, offri i tuoi consigli su come proteggere il webserver o spiegare cosa dovrebbe essere fatto in modo che possano verificare autonomamente il tuo consiglio andando ad es. a OWASP o fare domande su Security Stack Exchange.

Offri un certo grado di informazione personale ad es. come mettersi in contatto con te, come ti chiami e rendere la tua e-mail il più professionale e educata possibile. È molto probabile che sia accaduto come un vero errore, quindi non c'è bisogno di aggiungere benzina al fuoco che genererà.

Immagina che la persona sul lato ricevente sia ad es. tua nonna (o qualsiasi non-techie - senza offesa per le nonne là fuori). Come lo spiegheresti a loro? Quali dettagli vorresti offrire prima?

Assicurati di cc: altre persone, ad es. il preside, il vicepresidente ecc. in modo che non ci possa essere "la tua parola contro la loro" se si tratta di contenzioso.

Infine, se ritieni che i dati esposti siano davvero pericolosi, chiarisci che segnalerai questo alla polizia se non ricevi una risposta entro XXX giorni (sii ragionevole e prendi in considerazione le vacanze scolastiche).

    
risposta data 07.03.2016 - 14:47
fonte

Leggi altre domande sui tag