Hace unas semanas, descubrí que alguien ha publicado los detalles de la cuenta de administrador de un determinado sitio web en una wiki pública por error. Cuando descubrí que los datos eran reales (es decir, podía iniciar sesión en su sitio web gestionado por Wordpress), inmediatamente hice lo siguiente: Eliminé los datos confidenciales de esa wiki, le pedí al administrador de la wiki que eliminara de forma permanente todas las revisiones de esa página y le escribí un correo electrónico para informarle al respecto y pedirle que cambie su contraseña lo antes posible.
Para empeorar las cosas, el problema de seguridad no solo afecta a su sitio web, sino también a los datos personales de sus casi 2000 usuarios. Para colmo, el sitio web trata sobre la organización de eventos de TI de alto perfil (incluidos los eventos sobre seguridad de TI).
Ahora han pasado tres semanas y nada ha ocurrido (es decir, ni recibí una respuesta ni el administrador cambió la contraseña). Si yo fuera el administrador, sé lo que debe hacerse. ¿Pero cómo manejar esta situación cuando el administrador no maneja el problema profesionalmente? Hasta ahora, solo les envío un segundo correo electrónico hoy.
Puedo pensar en tres cosas que hacer, pero no estoy seguro de si estoy legalmente en el lado seguro aquí.
- Envíe un correo electrónico a todos los usuarios para informarles sobre el problema.
- Escriba una publicación de blog en su página de inicio como "Este sitio web se ha comprometido". (Estoy muy tentado de hacer eso. Creo que es moralmente bien, ya que no cambiaría nada más y creo que su base de usuarios necesita saber sobre el problema. Pero no estoy seguro de si podría estar en problemas si lo hiciera. eso?)
- Informe a la Comisión Federal de Comercio al respecto. (El sitio web está ubicado en los EE. UU.)
¿Tiene algún consejo sobre lo que estoy legal y moralmente permitido y obligado a hacer?