Mi universidad ofrece un servicio extremadamente vulnerable. Les advertí hace 4 años. ¿Qué tengo que hacer? [duplicar]

5

Hace cuatro años, descubrí que un applet en el sitio web de mi universidad envía consultas SQL directamente a una aplicación de servidor. Las bases de datos contienen información nominal y personal sobre los estudiantes y las calificaciones, y posiblemente más (¿SSN?), Pero no estoy seguro ya que no he intentado nada, porque soy una buena persona.

En diciembre de 2010, les advertí sobre las posibles vulnerabilidades y me agradecieron. Sé a ciencia cierta que se advirtió al CTO.

Cuatro años después, la aplicación aún está activa. La mecánica no ha cambiado, y la captura de paquetes (sin enmascarar) aún muestra que las solicitudes de SQL van al servidor desde el cliente. Podría hacer que el servidor los compruebe de alguna manera contra una lista de solicitudes válidas o algo así, pero no puedo estar seguro, y probablemente haya algunos cables trampa que no quiero arriesgarme a activar sin Autorización formal, que no es algo que espero obtener.

¿Qué debo hacer?

    
pregunta Concerned Kid 04.11.2014 - 21:41
fuente

2 respuestas

6

Si ya no es un estudiante en esa universidad, entonces podría demandarlos por no aplicar el debido cuidado en el manejo de sus datos personales su . Técnicamente, también puedes hacer eso si aún eres un estudiante, pero ya no ser un estudiante significa que les sería más difícil tomar represalias si están tan dispuestos.

El punto crucial aquí es que ser una víctima potencial te da una razón aceptable para poner tu nariz en estos asuntos. De lo contrario, sería demasiado fácil marcarlo como un Evil Hacker ™ y manejar el problema arrojándolo al hoyo de abogados, en lugar de corregir el software.

    
respondido por el Tom Leek 04.11.2014 - 22:46
fuente
2

Bueno, no sé de dónde es, pero en los Países Bajos tenemos algo llamado "Centro Nacional de Seguridad Cibernética", que en realidad es una especie de CERT. Además de las fallas de seguridad en los sistemas gubernamentales, también puede advertirles sobre fallas de seguridad en otros sistemas vitales. Si vives en los Países Bajos, deberías echarle un vistazo: enlace si vives en otro lugar, te recomendaría que lo hagas un vistazo al sitio web del CERT gubernamental de su país para ver lo que dicen sobre fallas de seguridad y divulgación responsable en sistemas de terceros.

En este sitio web: enlace puede encontrar una lista de CERT's en todo el mundo con sus sitios web.

    
respondido por el Mike van L 05.11.2014 - 11:25
fuente

Lea otras preguntas en las etiquetas