¿Cómo lidiar con los problemas de seguridad encontrados en sitios web de terceros?

Navega tus respuestas
5

Hace algún tiempo descubrí una falla de seguridad con respecto a la política de contraseña de mi proveedor de teléfonos celulares que básicamente hace que el sitio web, que incluye el acceso a la información personal y las facturas, sea vulnerable a la fuerza bruta (en un tiempo significativamente corto) y DoS . Lo informé a su atención al cliente, pero a ellos realmente no les importaba. Un técnico me contactó y me dijo que no es un gran problema, pero lo investigarán. Ahora, los meses han pasado y nada ha cambiado.

Mi pregunta es: ¿Existen prácticas recomendadas sobre cómo lidiar con esta situación (especialmente obligando a la compañía a solucionar el problema y proteger a los demás) sin que me demanden? Si publicar el problema es una opción: ¿Dónde debo hacer eso? (No tengo un blog, así que no es una opción).

    
pregunta 23785623985 02.12.2015 - 09:25
fuente

1 respuesta

5

Puede reportarlo a CERT usando este formulario a continuación. Dependiendo de la vulnerabilidad, CERT se pondrá en contacto con el proveedor en su nombre:

enlace

Aquí hay una cita del enlace de arriba para su referencia:

  

Si cree que ha encontrado una vulnerabilidad de seguridad que no ha   Se ha resuelto, por favor complete el siguiente formulario. Como el nuestro   La política de divulgación de vulnerabilidades explica, enviamos información.   presentado en informes de vulnerabilidad a los proveedores afectados. Por defecto, nosotros   compartirá su nombre con los proveedores y lo reconocerá públicamente   Documentos que publicamos. Si no desea que compartamos su nombre o   le reconocemos públicamente, seleccione las respuestas apropiadas en el   forma.

También puede consultar la política de CERT para las revelaciones aquí:

enlace

Si CERT se pone en contacto con el proveedor, la vulnerabilidad se revelará después de 45 días en el primer párrafo del enlace anterior:

  

Las vulnerabilidades reportadas al CERT / CC se divulgarán al   Público 45 días después del informe inicial, independientemente de la existencia.   o la disponibilidad de parches o soluciones alternativas de los proveedores afectados.

    
respondido por el VirtualJJ 02.12.2015 - 09:51
fuente

Lea otras preguntas en las etiquetas

¿Almacenar el token de autenticación en una cookie o encabezado? ¿Cuáles son los problemas con la carga de claves cifradas del lado del cliente en keybase.io?