¿Es peligroso reportar un problema de seguridad a una empresa u organización a través de canales no dedicados?

4

Hace poco visité el sitio web de una empresa grande y confiable que sirve un script malicioso (es una imitación de una de las principales aplicaciones de análisis, con un error tipográfico intencional en la URL de origen). Además, la compañía atiende a un nicho de mercado y es probable que no tenga un gran equipo de tecnología, por lo que su sitio web no se configuró con HTTPS.

Afortunadamente, mi software antimalware bloqueó el script, por lo que decidí mirar al menos la página de destino para ver si hay algún tipo de contacto administrativo (o incluso de soporte).

Al no encontrar uno y no encontrar nada útil después de hacer una consulta de WHOIS, me di cuenta de que aceptan mensajes de Facebook a través de su página oficial.

¿En general, es arriesgado notificar a una empresa de una vulnerabilidad que utiliza dichos canales no oficiales?

    
pregunta Jules 12.06.2016 - 16:07
fuente

1 respuesta

2

Resulta que, en este caso, el contacto con ellos por medios no oficiales (mensajes privados de Facebook) dio como resultado una respuesta dentro de aproximadamente 48 horas, seguido de un parche rápido para eliminar el script inyectado.

Sin embargo, no puedo proporcionar una respuesta general no anecdótica a esta pregunta.

    
respondido por el Jules 17.06.2016 - 17:29
fuente

Lea otras preguntas en las etiquetas