¿Cómo informaría una vulnerabilidad de seguridad internacional que podría causar mucho daño?
Estoy preguntando cómo & Donde informaría esta vulnerabilidad, no ahora para crear una vulnerabilidad simple. :)) entonces & Estoy tratando de cambiarlo para liberar a alguien.
Necesita privadamente ponerse en contacto con la persona que administra el software en el que encontró una vulnerabilidad. Cuénteles sobre la vulnerabilidad que encontró, incluyendo cómo cree que puede explotarse y qué cree que puede hacer. Déles un tiempo (a menudo en el rango de unos pocos meses) para verificar sus reclamos y proporcionar una solución.
Una vez que hayan solucionado el problema y se haya puesto a disposición de sus clientes un enlace a un parche, comuníquese con la lista de CVE y pregunte para un número de CVE si estás fuera para la gloria.
Editar: tenga en cuenta que algunos proveedores de software son idiotas y se niegan a reconocer sus errores, por lo que intentan demandar a quien los presenta con una vulnerabilidad para silenciarlos y evitar la vergüenza de tener seguridad Problemas en su software. Algunos investigadores de criptología que he conocido han tenido este problema una y otra vez con los fabricantes de tarjetas inteligentes. Si sospecha que se enfrenta a este tipo de individuo, permanezca en el anonimato al informar.
Lea otras preguntas en las etiquetas vulnerability penetration-test