Hace aproximadamente 8 meses, encontré e informé sobre un grave problema de seguridad relacionado con un sitio web que uso. Este sitio web contiene información confidencial y protegida de identificación personal.
Llamé al soporte técnico de la empresa, quien luego me transfirió al equipo de desarrollo. Les di instrucciones muy específicas sobre cómo reproducir el error. Este error permitirá que una persona no autorizada tome el control de una cuenta legítima y tenga acceso hasta los límites de la cuenta comprometida.
Abrieron un informe de error y me dijeron que lo examinarían. Aproximadamente un mes después, recibo un mensaje de que el equipo aún está investigando la situación.
Pasan otras dos semanas y los llamo para intentar obtener una actualización. Nuevamente, me dijeron que están trabajando en el problema, pero no pueden darme ningún detalle (lo que entiendo totalmente).
Hoy, probé la vulnerabilidad y descubrí que aún está activa.
Sé que están en proceso de reconstruir su software. Algunos de sus clientes pueden mudarse al nuevo sistema porque esa parte del sistema es más o menos completa. Otros clientes no pueden porque no está completa toda la funcionalidad necesaria.
Es un requisito para mí usar este software en el trabajo para almacenar la información mencionada anteriormente.
No sé en qué tipo de problemas podrían meterse mi empleador o yo si el sistema estaba comprometido.
¿Cuáles son los próximos pasos éticos y legales a seguir?