Qual è la cosa responsabile da fare quando tengo a una vulnerabilità più del team dietro al sistema? [duplicare]

Question

Qual è la cosa responsabile da fare quando tengo a una vulnerabilità più del team dietro al sistema? [duplicare]

#1 da (0 voti)
#2 da (0 voti)

0

Ho riscontrato una vulnerabilità di sicurezza in un sito web. Il sito web è quello di un marchio leader nel suo settore. Ci sono account utente ecc. E questo sito è molto popolare.

Ho contattato più persone dal loro team di sviluppo / IT, ma nessuna risposta (hanno letto il messaggio).

Lo lascio così com'è? Sapendo che il pubblico è potenzialmente a rischio utilizzando un sito che è meno sicuro?

È questo il motivo per cui è stato redatto un problema CVS / CVE? O non si adatta a questo e dovrei lasciare le cose come sono?

websites white-hat

posta JᴀʏMᴇᴇ 31.08.2018 - 11:51

fonte

2 risposte

Leggi altre domande sui tag websites white-hat

WannaCry può infettare la mia rete locale e i suoi dispositivi? Credenziali visibili a ps (analizzatore di processo)

score 0 · Answer 1

Ci sono un paio di cose che puoi fare.

1) Non fare nulla

2) Dì al mondo

Vorrei andare con 1) - La ragione per questo è che puoi metterti nei guai seri se dici al mondo (a seconda di quali leggi hai infranto per ottenere la conoscenza, e probabilmente hai violato alcune leggi anche se pensi che non ce l'hai), e comunque potrei semplicemente dirlo alla compagnia, ce l'ho e anche molti altri.

Semplicemente non ne vale la pena la maggior parte del tempo.

score 0 · Answer 2

Sì, potresti semplicemente non fare nulla, ma lasciare gli utenti a serio rischio è (a mio parere) molto più immorale che pubblicarlo.

Una buona combinazione potrebbe essere questa: contattare l'azienda (non il dipartimento IT, ma il loro ufficio di pubbliche relazioni). Dal momento che presumo che il tuo approccio fosse legale, non ci dovrebbero essere problemi nel farlo. Dare loro una quantità di tempo fissa e dirgli in un modo carino ma certo che pensi che ci sia un problema e si attenga alla divulgazione responsabile. Potresti pensare a qualcosa come 60 giorni prima della pubblicazione o qualcosa di simile. Questo è probabilmente un approccio con cui ogni parte coinvolta può occuparsi.