¿Qué es lo responsable de hacer cuando me importa una vulnerabilidad más que el equipo detrás del sistema? [duplicar]

Hay un par de cosas que puedes hacer.

1) No hacer nada

2) Dile al mundo

Iría con 1) - La razón de esto es que puedes meterte en serios problemas si le dices al mundo (Dependiendo de las leyes que hayas violado para obtener el conocimiento, y probablemente hayas violado algunas leyes incluso si crees usted no lo ha hecho, y aún podría decirle a la compañía, yo también y muchos otros lo han hecho.

Simplemente no vale la pena la mayor parte del tiempo.

Sí, simplemente no podría hacer nada, pero dejar a los usuarios en grave riesgo es (en mi opinión) mucho más poco ético que publicarlo.

Una buena combinación podría ser esta: comuníquese con la empresa (no con el Departamento de TI, sino con su oficina de relaciones públicas). Como supongo que su enfoque fue legal, no debería haber ningún problema en hacerlo. Déles una cantidad de tiempo fija y dígales de una manera agradable pero segura de que usted cree que hay un problema y se apegará a la divulgación responsable. Puedes pensar en algo como 60 días antes de la publicación o algo similar. Es muy probable que sea un enfoque con el que todas las partes involucradas puedan lidiar.