He leído esta publicación largamente, pero creo que esta pregunta es sutilmente diferente.
Considere este escenario: una organización municipal sin fines de lucro tiene un sitio web con autenticación (nombre de usuario, contraseña). La autenticación protege los datos del usuario; el dinero no está involucrado (si eso importa).
Con las mejores intenciones, la Persona A publica un script PHP de inicio de sesión automático con todos los detalles del procedimiento de inicio de sesión (URL específicas, información de sesión en cookies, etc.), siempre que el usuario tenga un nombre de usuario y una contraseña válidos.
[Editar]: esta secuencia de comandos utiliza PHP / cURL. No es parte de una página web; Se ejecuta desde la línea de comandos. Se pone en contacto con la URL del sitio web, establece una sesión y envía un HTTP POST para iniciar sesión. El script puede continuar extrayendo los datos del usuario según sea apropiado para el dominio.
Por un lado, el script PHP simplemente imita el protocolo utilizado por el navegador: no hay exploits. La intención es "hackear DIY", mi término para "usuarios avanzados haciendo cosas innovadoras". Esto no es cosa de sombrero blanco, gris o negro.
Sin embargo, es cierto que la secuencia de comandos / información puede conducir fácilmente a un trabajo derivado que de manera iterativa busca los detalles de autenticación: un hack de seguridad.
[Editar] como aclaración (para comentaristas y otros), considere lo siguiente:
- La organización municipal sin fines de lucro no dedica muchos recursos a la seguridad. Esto incluye contraseñas predeterminadas, límites de intentos de inicio de sesión, etc.
- Antes de la publicación del script PHP, si un sombrero negro quisiera comprometer una cuenta, tendría que automatizar el navegador, usar un rastreador de red o investigar los detalles de inicio de sesión y escribir el script PHP, etc.
- Después de la publicación del script PHP y los detalles de inicio de sesión, un sombrero negro podría modificar razonablemente el script PHP (un trabajo derivado) para que, dado un nombre de usuario, simplemente itere sobre las posibles contraseñas hasta que se encuentre una. También podría probar otros nombres de usuario. El trabajo para investigar el protocolo de inicio de sesión ya está hecho y documentado.
Mi pregunta es: ¿tiene la Persona A la responsabilidad ética de alertar a la organización que la información ha sido publicada? ¿La Persona A revela la posibilidad del trabajo derivado?
De manera similar, si la Persona B descubre la publicación y se da cuenta de las posibles consecuencias, ¿hay una carga para que la Persona B alerte a la comunidad, aunque el trabajo derivado no exista? Es decir, continúa como se describe en esta publicación ?