¿Cómo puedo informar un error de seguridad, como usar contraseñas de texto sin formato, y obtener un resultado positivo? [duplicar]

5

Me parece que estoy haciendo esto mucho. Tal vez haya algo sobre colegios y universidades que contratan a firmas de webdev malas, pero he enviado un correo electrónico a 3 firmas diferentes para quejarme de que tienen contraseñas en texto simple.

Uno de ellos, UCAS tiene la mayoría de mis datos personales y se niega a reconocer que es malo que envíen tu correo electrónico. , contraseña y número de identificación en un correo electrónico no seguro cuando pasa por un formulario de "contraseña perdida".

Al final del día, quiero ayudar a las empresas a mejorar su software, por su propio bien y el mío, pero parece que muchos lo toman personalmente o como si estuviera desacreditando a la compañía cuando señalo un defecto.

Siempre enfatizo que informo que quiero solucionar el problema y que no tengo ninguna intención de explotarlo o compartir los detalles.

¿Qué puedo hacer para aumentar la probabilidad de un resultado exitoso en esta situación?

¿Es incluso mi lugar, como usuario del sistema, hacer este tipo de cosas?

    
pregunta jackweirdy 06.09.2013 - 19:08
fuente

1 respuesta

1

Cortésmente les enviaría un correo electrónico informándoles que ha descubierto una vulnerabilidad de seguridad (sé que ya lo ha hecho) y luego les mostraré pruebas (está capturando la información de sus amigos a través de wireshark, por ejemplo. Con el consentimiento informado de sus amigos parte) y una explicación educada de lo trivial que sería capturar información de cientos de estudiantes en el transcurso de un día, sin siquiera tener que sentarse frente a la computadora.

Yo, personalmente, también seré voluntario para que usted esté encantado de mostrarles cuál es la vulnerabilidad, y les haré saber que planea presentar su periódico escolar de solución (boletín de noticias) para que puedan mostrar cómo están siempre. mejorar e incluso detectar errores cometidos por otros grupos (como su personal de desarrollo web)

Entonces, honestamente, lo más importante es darles una fecha límite y hacerles saber que esto se publicará y cuándo planea hacerlo. Esto les da una elección deliciosamente malvada ... arréglalo y luce bien para solucionar un problema grave, O no lo arregles y parece que no saben lo que están haciendo para no verificar las cosas que deben tener en cuenta de. Se convierte en su problema de cómo se van a ver, no en SU problema

EDITAR: leí su transcripción de correo electrónico. Mi último párrafo es cierto. Lo mejor que se suele hacer al respecto es decirles que tiene la intención de publicar en quienquiera que haya encontrado una vulnerabilidad. No seas demasiado molesto (TIENES TRES DÍAS O VOY A PÚBLICO) dales una cantidad decente de tiempo de un par de semanas a un mes para que solucionen esto.

Al mismo tiempo, probablemente podrían encontrar o incluso hacer un reemplazo para esto en unas pocas horas si son buenos o uno o dos días si tuvieran que construirlo desde cero. Usa tu mejor juicio.

    
respondido por el PsychoData 07.09.2013 - 00:36
fuente

Lea otras preguntas en las etiquetas