La vulnerabilidad puede existir debido a negligencia, ignorancia o recursos limitados. Los propietarios deciden cuándo y cómo resolver el problema. La decisión es de su responsabilidad, no de usted.
-
Tome un paso adicional para divulgar su prueba de vulnerabilidad a los propietarios del sitio.
(es decir, verifique que están recibiendo sus comunicaciones)
-
Si no obtiene una respuesta satisfactoria, pase esta información a su jefe.
(rango más alto en la compañía o compañía matriz)
Como han dicho otros, sé cortés y profesional. Esto te ayudará a ganar credibilidad. Debe comenzar con una explicación humana simple (solo los hechos), y en el mismo correo electrónico debe incluir los detalles técnicos. (para que la compañía pueda verificar sus hallazgos antes de responder)
Si todas las vías fallan,
Le animo a pasar la evidencia al servicio público responsable (se sugiere un póster en el CERT), pero no tengo experiencia en esto.
No debe revelar la vulnerabilidad públicamente.
- Esto puede llevar a un ataque exitoso por parte de individuos con poca intención.
- En muchas jurisdicciones, hay consecuencias legales que las empresas pueden imponer a los individuos en su posición.
- Dicha publicación puede promover un balance pobre de responsabilidad entre el atacante y el defensor.
Admito que puede haber casos en los que sea correcto divulgar públicamente una vulnerabilidad, pero le sugiero encarecidamente que difiera ese manejo responsable, cuidadoso e imparcial a un servicio público que tenga más experiencia en tales asuntos.