¿Qué es lo responsable de hacer cuando me importa una vulnerabilidad más que el equipo detrás del sistema? [duplicar]

0

He encontrado una vulnerabilidad de seguridad en un sitio web. El sitio web es el de una marca líder en su industria. Hay cuentas de usuario, etc. y este sitio web es muy popular.

Me he contactado con varias personas de su equipo de desarrollo / TI, pero no he respondido (han leído el mensaje).

¿Lo dejo como está? ¿Sabiendo que el público está potencialmente en riesgo al usar un sitio que no es seguro?

¿Es esto para lo que se presenta un problema de CVS / CVE? ¿O eso no encaja en esto en absoluto y debería dejar las cosas como están?

    
pregunta JᴀʏMᴇᴇ 31.08.2018 - 11:51
fuente

2 respuestas

0

Hay un par de cosas que puedes hacer.

1) No hacer nada

2) Dile al mundo

Iría con 1) - La razón de esto es que puedes meterte en serios problemas si le dices al mundo (Dependiendo de las leyes que hayas violado para obtener el conocimiento, y probablemente hayas violado algunas leyes incluso si crees usted no lo ha hecho, y aún podría decirle a la compañía, yo también y muchos otros lo han hecho.

Simplemente no vale la pena la mayor parte del tiempo.

    
respondido por el Kim Vinberg 31.08.2018 - 11:58
fuente
0

Sí, simplemente no podría hacer nada, pero dejar a los usuarios en grave riesgo es (en mi opinión) mucho más poco ético que publicarlo.

Una buena combinación podría ser esta: comuníquese con la empresa (no con el Departamento de TI, sino con su oficina de relaciones públicas). Como supongo que su enfoque fue legal, no debería haber ningún problema en hacerlo. Déles una cantidad de tiempo fija y dígales de una manera agradable pero segura de que usted cree que hay un problema y se apegará a la divulgación responsable. Puedes pensar en algo como 60 días antes de la publicación o algo similar. Es muy probable que sea un enfoque con el que todas las partes involucradas puedan lidiar.

    
respondido por el Ben 31.08.2018 - 14:00
fuente

Lea otras preguntas en las etiquetas