Opiniones: ¿Informar o no informar? CFAA vs el sombrero blanco [cerrado]

Question

Opiniones: ¿Informar o no informar? CFAA vs el sombrero blanco [cerrado]

#1 de tylerl (1 votos)
#2 de D.W. (0 votos)

1

Como estoy seguro de que la mayoría de las personas aquí saben, se ha prestado mucha atención a la Ley de abuso y fraude informático de EE. UU. (CFAA) recientemente. Breve historia: un investigador de seguridad descubrió que un operador de telefonía celular hizo que las direcciones de correo electrónico de sus clientes estuvieran disponibles a través de un servicio no autenticado. Lo señaló y ahora podría pasar varias décadas tras las rejas. Más información: enlace

Sin meterme en la locura de "#FreeWeev", tengo curiosidad acerca de cómo las personas preocupadas por la seguridad están procesando esta información y si esto le disuadirá de informar sobre un problema de seguridad identificado legítimamente. Obviamente, la gente en los EE. UU. Tendrá un poco más de contexto sobre el tema, pero acojo con satisfacción todos los puntos de vista sobre el tema.

¿Estas reglas lo alejarán de su trabajo o lo cambiarán? Si es así, ¿cómo?

¡Gracias!

research

pregunta grauwulf 22.11.2012 - 00:22

fuente

2 respuestas

Lea otras preguntas en las etiquetas research

BrowserID y HTTPS conflict? Correo electrónico falso enviado a través del servicio de boletines: ¿cómo saber quién los envió?

score 1 · Answer 1

Con respecto a cómo (y si) revelar las vulnerabilidades, ese tema ya se ha cubierto ampliamente en este sitio.

Con respecto a lidiar con un defecto potencialmente embarazoso con una organización poderosa, recuerde esta pequeña joya:

A las organizaciones poderosas no les gusta sentirse avergonzadas. Y una forma en que pueden salvar la cara es incriminar al mensajero ("mira, no somos irresponsables, es un terrorista"), y al hacerlo, es necesaria cierta cantidad de autoprotección. Quizás deberías permanecer en el anonimato. Quizás deberías buscar asesoría legal. Tal vez debería trabajar a través de un tercero (por ejemplo, una empresa de seguridad).

Ciertamente, lo que no debes hacer es hacer alarde de la vulnerabilidad en un espectáculo de burla sarcástica y autopromoción. Puede ser seguro empujar al oso con un bastón lo suficientemente largo, pero la única manera de saberlo con certeza es mediante un análisis post mortem de los eventos. Probablemente sea mejor no golpear al oso si quieres permanecer en el lado seguro.

score 0 · Answer 2

Este área temática general se ha cubierto en ¿En qué momento se convierte en ilegal el "pirateo"? (EE. UU.) , que incluye referencias a otros profesionales de seguridad que se vieron afectados por estas leyes.

Vea también Vulnerabilidad de seguridad encontrada, ¿qué debo hacer? , que cubre un área relacionada.