Estoy de acuerdo con TheJulyPlot que los problemas de seguridad se deben llevar al equipo de IRT / CSIRT / SOC / CERT responsable de la seguridad del sitio web. Una escuela pequeña puede no tener una posición específica, mientras que una university ciertamente lo hará.
El objetivo es que estas personas sean (a) técnicamente competentes para comprender lo que está informando y (b) consciente de que en realidad está ayudando , al tiempo que puede enrutarlas a otras personas. destinatario exacto si es necesario (por ejemplo, un equipo de desarrollo independiente debe corregir el error real).
Si no sabe cuál es el equipo que maneja los problemas de seguridad en su institución o cómo comunicarse con ellos, puede subir un nivel: comuníquese con el CERT nacional o, para una universidad, un CERT para la red de investigación a la que pertenece .
Por ejemplo, dependiendo de dónde se base usted (y la entidad), puede notificar en los EE. UU. el US-CERT , en el Reino Unido JANET CSIRT , en España INCIBE-CERT , en Kazajstán, KazAcad CSIRT ...
No hay una guía completa de equipos, pero generalmente puede buscar el CSIRT más relevante para su caso en FIRST o -para European CERTs- Introductor de confianza .
Tenga en cuenta que cada uno tendrá su propia circunscripción. Un CERT nacional para su país puede manejar el informe redirigiéndolo a la Universidad si es necesario, pero el CSIRT para una empresa privada que no tenga ninguna relación puede descartarlo.
En (casi?) todos los casos, es posible enviar un informe del incidente por correo electrónico (si no encuentra uno en la lista, busque la sección RFC 2350). Lo que significa que, para un nivel básico de anonimato, simplemente puede crear una nueva cuenta de freemail y usarla para enviar su informe de incidente. De hecho, incluso podría omitir la creación de un nuevo correo electrónico y enviarlo desde su dirección de correo electrónico habitual (también puede mencionar en el informe que prefiere no permanecer en el anonimato). Si no cometiste ningún delito, es poco probable que a alguien le importe quién eres realmente. En lugar de "enviar y olvidar", le recomiendo que revise ese correo electrónico (pídales una actualización si es necesario). Es posible que simplemente se le agradezca y le informe que lo manejarán de ahora en adelante, pero también pueden solicitarle más información o pedirle que lo envíe a un equipo diferente.
También te recomiendo que lo reportes tan pronto como puedas después del descubrimiento para minimizar el potencial de contraproducente. La gente equivocada podría asumir que lo que hayas descubierto, lo habrás abusado y eres un hacker malvado, sin importar lo tonto que sea la vulnerabilidad real. Sin embargo, al actuar de inmediato para solucionarlo (¡y en realidad no haber abusado de él!). Probablemente hay algunos registros que podrían ser revisados. Si descubren que probó la vulnerabilidad (incluso si les lleva meses encontrarla por sí mismos), lo hizo hace 1 hora antes de que recibieran un informe. Los correos electrónicos representan una imagen muy diferente a la de darse cuenta de que lo descubrió hace 6 meses. . Incluso si su comunicación por alguna razón no llegó a ellos (suponga que su buzón de abuso estaba lleno), el registro en sí mismo en el proveedor de correo electrónico (es decir, el correo enviado) que revela la vulnerabilidad será útil, en caso de que lo necesite. .