Mi universidad ofrece un servicio extremadamente vulnerable. Les advertí hace 4 años. ¿Qué tengo que hacer? [duplicar]

Question

Mi universidad ofrece un servicio extremadamente vulnerable. Les advertí hace 4 años. ¿Qué tengo que hacer? [duplicar]

#1 de Tom Leek (6 votos)
#2 de Mike van L (2 votos)

5

Hace cuatro años, descubrí que un applet en el sitio web de mi universidad envía consultas SQL directamente a una aplicación de servidor. Las bases de datos contienen información nominal y personal sobre los estudiantes y las calificaciones, y posiblemente más (¿SSN?), Pero no estoy seguro ya que no he intentado nada, porque soy una buena persona.

En diciembre de 2010, les advertí sobre las posibles vulnerabilidades y me agradecieron. Sé a ciencia cierta que se advirtió al CTO.

Cuatro años después, la aplicación aún está activa. La mecánica no ha cambiado, y la captura de paquetes (sin enmascarar) aún muestra que las solicitudes de SQL van al servidor desde el cliente. Podría hacer que el servidor los compruebe de alguna manera contra una lista de solicitudes válidas o algo así, pero no puedo estar seguro, y probablemente haya algunos cables trampa que no quiero arriesgarme a activar sin Autorización formal, que no es algo que espero obtener.

¿Qué debo hacer?

disclosure ethics

pregunta Concerned Kid 04.11.2014 - 21:41

fuente

2 respuestas

Lea otras preguntas en las etiquetas disclosure ethics

¿Qué es BlueBorne y cómo protegerme? La tienda en línea fue hackeada, reparada pero aún está bajo ataque. ¿Qué hacer?

score 6 · Answer 1

Si ya no es un estudiante en esa universidad, entonces podría demandarlos por no aplicar el debido cuidado en el manejo de sus datos personales su . Técnicamente, también puedes hacer eso si aún eres un estudiante, pero ya no ser un estudiante significa que les sería más difícil tomar represalias si están tan dispuestos.

El punto crucial aquí es que ser una víctima potencial te da una razón aceptable para poner tu nariz en estos asuntos. De lo contrario, sería demasiado fácil marcarlo como un Evil Hacker ™ y manejar el problema arrojándolo al hoyo de abogados, en lugar de corregir el software.

score 2 · Answer 2

Bueno, no sé de dónde es, pero en los Países Bajos tenemos algo llamado "Centro Nacional de Seguridad Cibernética", que en realidad es una especie de CERT. Además de las fallas de seguridad en los sistemas gubernamentales, también puede advertirles sobre fallas de seguridad en otros sistemas vitales. Si vives en los Países Bajos, deberías echarle un vistazo: enlace si vives en otro lugar, te recomendaría que lo hagas un vistazo al sitio web del CERT gubernamental de su país para ver lo que dicen sobre fallas de seguridad y divulgación responsable en sistemas de terceros.

En este sitio web: enlace puede encontrar una lista de CERT's en todo el mundo con sus sitios web.