Encontré un problema de seguridad pero no tengo respuesta

Navega tus respuestas
3

Hace dos semanas, encontré un problema de seguridad en el sitio personal de un político. El sitio sigue siendo muy activo y tiene un montón de visitantes todos los días. La infracción es muy estúpida y probablemente no sea la primera persona que la encuentre, pero falta un .htaccess en la parte de administrador del sitio, por lo que puedo iniciar sesión como administrador escribiendo www.thesite.com/admin y puedo acceder a todos los datos personales. datos de los miembros, puedo publicar un artículo, suprimir todo, etc. Como se trata de un problema importante, intenté contactar a alguien en el sitio, pero no hubo contacto con el webmaster, solo la dirección personal del político y la dirección de su secretario. Les envié alrededor de tres mensajes, pero no respondieron.

Pregunta: ¿Debo olvidarme de eso porque es su problema, no el mío? ¿O encontrar otra forma de contactarlos? ¿Se podría considerar ilegal lo que he hecho, ya que he podido ver toda la información personal sobre sus miembros?

EDITAR: mi pregunta ha sido identificada como un posible duplicado de otra pregunta pero en mi caso sé muy bien lo que debo hacer (ya envié mensajes), solo me preguntaba si debería dejarlo o no.

    
pregunta Shashimee 30.06.2016 - 14:46
fuente

1 respuesta

2

Debe esforzarse por revelar la vulnerabilidad de manera responsable y ética.

busque un correo electrónico de contacto de la persona que posee el sitio y de cualquier persona que administre el mismo. Busque, whois, esto puede tener información de contacto de la persona que registró el dominio o una página de contacto en el sitio, no recomiendo usar ninguna información que haya expuesto por el error para comunicarse con la persona, ya que puede encontrarse en la sección legal zona gris.

Determine la vulnerabilidad, cómo la descubrió y cualquier método que puedan usar para replicarla (lo que parece fácil en este caso). También les informaría de cualquier solución si usted sabe una.

Además, puede explicar qué riesgos enfrentan al dejar la vulnerabilidad sin marcar.

Si has hecho todo lo posible para revelar esto de manera ética y ellos no hacen nada al respecto, tienes dos opciones; Infórmeles que dará una divulgación completa al público después de un período de tiempo razonable, o decida que, dado que es un sitio personal, no lo divulgará al público y continuará con su vida.

A medida que se exponen los detalles personales de las personas y la persona que posee el sitio es un funcionario público, les daría una advertencia justa y luego lo harían público.

    
respondido por el TheJulyPlot 30.06.2016 - 15:02
fuente

Lea otras preguntas en las etiquetas

¿Es segura la autenticación sin contraseña Auth0? ¿Es seguro confiar en la dirección de correo electrónico del proveedor de identidad de terceros?