¿En qué casos deben prepararse las aplicaciones para la fuerza bruta?

  

De todos modos, esto es ilegal. ¿Aún deberían preocuparse por mi informe?

Mucho.

Para dar a una de una serie de ejemplos de este tipo, considere (uno de) el hackeo de Yahoo, por ejemplo, el 1 billón de cuentas hack informadas a finales de 2016 (consulte también cobertura de Krebs ).

Para cubrir rápidamente por qué "esto es ilegal de todos modos" no es una respuesta legítima:

• Se robaron algunos datos confidenciales de Yahoo (en este caso, correos electrónicos de usuario, contraseñas y posiblemente más), sin embargo, Yahoo todavía tiene el deber de anunciar (e investigar) el hackeo
• ese deber se extiende a su información financiera, como se explica en el pie de página de uno de sus comunicados de prensa sobre el impacto en los usuarios :

  

Se incluye más información sobre los riesgos e incertidumbres potenciales de las brechas de seguridad que podrían afectar los negocios y los resultados financieros de la Compañía en el apartado "Factores de riesgo" en el Informe trimestral de la compañía en el Formulario 10-Q para el trimestre finalizado el 30 de septiembre de 2016. que está archivada en la SEC y disponible en el sitio web de la SEC en www.sec.gov.

• dependiendo de su país, el deber de informar también puede estar vinculado a multas y otras consecuencias legales o financieras ( Europe , por ejemplo).

Todo esto tiende a centrarse en la información de identificación personal (PII), pero en el caso de una universidad, la pérdida o el robo de la investigación (especialmente cuando no está protegido por patentes) podría afectar el estado financiero de la universidad. Por no mencionar el hecho de que las universidades también tienen PII, por lo que se debería investigar una infracción para determinar qué tipo de datos pueden haberse filtrado.

No soy abogado, pero hay tantos casos en los que, como mínimo, se justificaría una investigación (si no fuera necesario para determinar las consecuencias legales), que creo que el informe lo haría (asumiendo que se consideraba que era confiable y precisa) prestada atención.

Si proporciona informes incorrectos (o incluso demasiado ruidosos), es posible que ignoren su informe. Pero me sorprendería si se ignorara la evidencia concluyente de una violación.

No es ilegal tener una mala seguridad. Pero generalmente, las organizaciones que manejan información privada también participan en actividades que requieren algún tipo de cumplimiento regulatorio.

Por ejemplo, en los Estados Unidos, una universidad a menudo maneja la información de las tarjetas de crédito, lo que significa que deben ser compatibles con PCI-DSS. Si manejan información médica, deben ser compatibles con HIPPA. Si manejan préstamos estudiantiles, deben cumplir con FFIEC. Si manejan información del gobierno, es posible que tengan que cumplir con la norma ISO 27000. Etc. Cada uno de estos incluye estándares de ciberseguridad. Algunos de ellos son muy específicos, por ejemplo. especifique que las contraseñas deben estar ocultas y que existen mecanismos de bloqueo (para evitar la fuerza bruta).

Si una universidad está fuera de cumplimiento, puede que no sea necesariamente ilegal (no está en los EE. UU.) pero puede tener consecuencias para ellos, por ejemplo. Es posible que Visa no les permita procesar los pagos.

Si le preocupa que una organización esté fuera de cumplimiento, puede enviar un correo electrónico y solicitar que se envíe a su oficial de cumplimiento.