Esto es más o menos una continuación de mi pregunta anterior: Como estudiante, ¿cómo puedo hacerlo de manera segura y responsable? ¿Revelar un problema de seguridad grave en un entorno escolar?
Más de cuatro meses después de que envié mi carta anónima describiendo este problema de seguridad, verifiqué cuidadosamente si la vulnerabilidad que informé aún existía, y aún existe en su totalidad. Se realizaron algunos cambios de TI no relacionados, pero se han dirigido principalmente al personal (como la introducción de BitLocker).
Entre el momento en que lo reporté y ahora, escuché a un amigo cercano (que venía de una escuela diferente en el mismo distrito que yo) que había reportado un problema de seguridad diferente y que había tratado de reportarlo a su computadora Profesor de ciencias, quien a su vez lo informó al departamento de TI. Sin embargo, en lugar de respetar el anonimato del estudiante, el jefe de informática amenazó al maestro con su trabajo (no se sabe cómo podría llevar a cabo esta amenaza) si no revelaba la identidad del estudiante que encontró la vulnerabilidad de la seguridad y también amenazaba El alumno con acción disciplinaria o arresto. Independientemente de la exactitud de la historia, sentí que hice lo correcto al informar esto a través de una carta escrita de forma anónima e independiente.
Sin embargo, el problema no se ha solucionado en absoluto. La carta se envió a dos departamentos diferentes para garantizar que el problema se escuchara alto y claro y que se realizaría un plan para resolverlo. Pero nada de esto sucedió. De hecho, fue como si una persona leyera la carta y convenciera a la otra para que la tirara.
El exploit sigue siendo peligroso, y en este punto estoy casi seguro de que no soy el único que lo sabe.
Podría enviar otra carta anónima, explicando con más detalle las implicaciones de dejar este exploit a la vista. Pero sería difícil hacer cualquier otra cosa, ya que los amenazaría a tomar medidas "o de lo contrario". Me convertiría en un sombrero gris (er).
No puedo enfatizar lo suficiente la importancia de resolver este problema de seguridad antes de que suceda algo grande. Pero no puedo amenazarlos para que hagan nada, porque eso implicaría mi disposición a cometer delitos. ¿Cuáles son mis opciones?