Este es el debate de divulgación de vulnerabilidad : cuando encuentre una vulnerabilidad, ¿qué hace? hacer con eso? Traerlo a la vista del público de inmediato puede considerarse como "ayudar a los atacantes"; sin embargo, discutirlo en privado con los operadores o proveedores de los sistemas afectados puede volverse desagradable; en particular, algunos proveedores o propietarios de servidores son propensos a considerar cualquier advertencia privada como un intento de extorsión y llamar a la policía.
Algunos investigadores de seguridad quieren dinero de su trabajo; muchos otros quieren fama; bastantes quieren ambos. Publicar el problema de seguridad de inmediato es de responsabilidad cuestionable, pero es "más seguro" para el investigador y tiene la mayor probabilidad de obtener fama (y la menor probabilidad de traer dinero).
Para agravar el problema, está la idea de que un "delincuente de texto simple" es un sitio diseñado y administrado por personas que solo tienen conocimientos prácticos de seguridad de la información; por lo tanto, no se puede esperar que reaccionen con la prontitud técnica y el respeto mutuo que podrían inducir un resultado feliz (el investigador obtiene el dinero y la fama, la vulnerabilidad está solucionada, el propietario del servidor aparece como un administrador de seguridad bueno y eficiente cuestiones). Desde el punto de vista de un investigador honesto, tales sitios parecen tener problemas. Puedes tener una charla técnica tranquila con Google o Microsoft; con un sitio que almacena contraseñas de texto simple (y, la mayoría de las veces, las envía por correo electrónico), el drama es una posibilidad definitiva.
Como han señalado otros, el almacenamiento de contraseñas en texto sin formato no hace que los ataques sean más probables ; los hacen más devastadores cuando ocurren. Los objetivos no son más fáciles, sino más jugosos. En ese sentido, la PTO no ayuda realmente a los atacantes .
(La estrategia general de PTO es darse a conocer al público en general para poder ejercer cierta presión sobre los propietarios del sitio, lo que finalmente resulta en una red más segura. Eso es educación a través del punto y la vergüenza, en teoría debería trabajo en un mercado libre capitalista, los clientes son la fuerza máxima. Sin embargo, no creo que la PTO haya alcanzado ese nivel de fama todavía, por lo general, necesitan un logotipo, un sitio web más limpio, videos promocionales y respaldo. por George Clooney, al menos.)