¿Cómo hacer que un sitio web parche su mala seguridad?

Por lo tanto, hay un par de opciones disponibles para usted, dependiendo del país en el que viva, pero primero una nota de advertencia.

Usted "probó" el sitio y luego informó sus hallazgos. En muchos países, si los propietarios de las aplicaciones quieren distinguir que los "piratearon", podrían hacerlo, y puede ser malo para usted. Digo esto solo para que pueda sopesar cuando esté considerando tomar otras acciones. Dejaré de lado cualquier cosa más legal sobre piratería, ya que se ha cubierto en otras respuestas.

Básicamente, las principales formas de lograr que aborden este problema sería informar a un organismo regulador o gubernamental que sea responsable de la protección de datos (por ejemplo, en el Reino Unido, el comisionado de información), ya que parece que no están tomando las medidas adecuadas. Medidas para proteger los datos personales que están procesando. Esto puede hacer que lo solucionen si el regulador se comunica con ellos con respecto al problema.

La otra opción sería intentar atraer una mala publicidad al sitio, publicando los detalles de la vulnerabilidad. Este puede tener el efecto deseado, pero tenga en cuenta que un posible efecto secundario es que podrían emprender acciones legales contra usted (nuevamente, dependiendo de la jurisdicción, su actitud hacia la seguridad, etc.)

" así que decidí probar cómo está su seguridad. " Y ahí estaba el punto en el que cruzaste la línea. A menos que tenga un permiso explícito para "probar" la seguridad, está violando la ley.

  

"Excede la autorización El término" excede el acceso autorizado "es   definido por CFAA para significar "para acceder a una computadora con autorización   y utilizar dicho acceso para obtener o alterar información en la computadora.   que el usuario no tiene derecho para obtener o alterar ". 18 U.S.C. §   1030 (e) (6) ".    enlace

Ahora comente su otro comentario: " Mi propia información personal también está en riesgo aquí. " Solicite que se eliminen sus datos, ya que no desea estar en un sistema inseguro. Sin embargo, como dije inicialmente, a menos que tenga un permiso explícito para probar su sitio, me mantendría lejos de hacerlo.

Voy a editar mi comentario. Aunque publiqué información sobre las leyes de los Estados Unidos, esto se debe a que soy de los Estados Unidos. No he visto otros países donde las pruebas sin permiso no sean legales. Para responder a su edición, Simon: " No cambia el hecho de que algún día, alguien hará exactamente lo que hice pero con malas intenciones " Esto es completamente irrelevante. ¿Por qué romper cualquier ley para probar un punto? Si está tan en contra de tener su información almacenada en ese servidor, haga que la eliminen.

Si bien su idea inicial es que está "ayudando" a aquellos con información publicada al exponer el riesgo (también puede estarlo), ha habido casos en que la exposición de "fallas" tiene condenado a la cárcel tiempo . Puede ponerse en contacto con quien sea responsable de su servidor; si eso no funciona, puede comenzar a enviar CC a otros en la misma empresa / institución, tal vez eso ayude. Si está en los EE. UU., Puede intentar que esto se solucione a través de CERT . Si está en otro país, puede intentar encontrar el CERT de ese país.