¿Dónde informar públicamente de una vulnerabilidad, después de que el desarrollador la ignore? [duplicar]

Puedes intentar involucrar al CERT. enlace

  

Es más probable que aceptemos informes si:

     

• son técnicamente exactos, suficientemente detallados y razonablemente completos
  
• afecta a múltiples proveedores
  
• seguridad de impacto o infraestructura crítica
  
• implica desacuerdo o disputa entre reporteros y proveedores
  
• involucrar a proveedores difíciles de alcanzar o que no responden
  
• afecta a proveedores o sectores que son nuevos en la seguridad del software y la divulgación de vulnerabilidades
  
• requiere anonimato del reportero
  

La vulnerabilidad puede existir debido a negligencia, ignorancia o recursos limitados. Los propietarios deciden cuándo y cómo resolver el problema. La decisión es de su responsabilidad, no de usted.

1. Tome un paso adicional para divulgar su prueba de vulnerabilidad a los propietarios del sitio.
   (es decir, verifique que están recibiendo sus comunicaciones)

2. Si no obtiene una respuesta satisfactoria, pase esta información a su jefe.
   (rango más alto en la compañía o compañía matriz)

Como han dicho otros, sé cortés y profesional. Esto te ayudará a ganar credibilidad. Debe comenzar con una explicación humana simple (solo los hechos), y en el mismo correo electrónico debe incluir los detalles técnicos. (para que la compañía pueda verificar sus hallazgos antes de responder)

Si todas las vías fallan, Le animo a pasar la evidencia al servicio público responsable (se sugiere un póster en el CERT), pero no tengo experiencia en esto.

No debe revelar la vulnerabilidad públicamente.

• Esto puede llevar a un ataque exitoso por parte de individuos con poca intención.
• En muchas jurisdicciones, hay consecuencias legales que las empresas pueden imponer a los individuos en su posición.
• Dicha publicación puede promover un balance pobre de responsabilidad entre el atacante y el defensor.

Admito que puede haber casos en los que sea correcto divulgar públicamente una vulnerabilidad, pero le sugiero encarecidamente que difiera ese manejo responsable, cuidadoso e imparcial a un servicio público que tenga más experiencia en tales asuntos.

Lo último que debes hacer es decir: Repárelo, responda, o publicaré su error en un período de tiempo determinado.

Lo que debes considerar:

• Asegúrate de pasar el tiempo suficiente
• Póngase en contacto con ellos nuevamente, asegúrese de que su correo incluya un PoC que explique los peligros y cómo simular, etc. y también haga un pequeño video de usted explotando el error.
• Explícales explícitamente que no tienes malas intenciones, y deja algo de información personal (dirección de correo y nombre).
• Dé una fecha límite, digamos que está obligado a publicar el error al público en unas pocas semanas mediante la Política de divulgación responsable. Mención: la fecha límite no es para decir "entonces debería ser arreglado", es para decir "para entonces debes comenzar a arreglarlo".
• Hable sobre las recompensas / recompensas de errores en su próxima respuesta; no los empujes.
• ¿Intenta llamar y / o las redes sociales que están usando?
• Sé amable, claro y profesional.

Si esto es interno a su compañía o de alguna manera conectado a usted, documente todo y la correspondencia. Pase la responsabilidad hacia arriba y entregue la información a los superiores o al cuerpo directivo.