Preguntas con etiqueta 'disclosure'

preguntas con etiqueta
2
respuestas

Mi universidad ofrece un servicio extremadamente vulnerable. Les advertí hace 4 años. ¿Qué tengo que hacer? [duplicar]

Hace cuatro años, descubrí que un applet en el sitio web de mi universidad envía consultas SQL directamente a una aplicación de servidor. Las bases de datos contienen información nominal y personal sobre los estudiantes y las calificaciones, y...
hecha 04.11.2014 - 21:41
1
respuesta

¿Cómo lidiar con los problemas de seguridad encontrados en sitios web de terceros?

Hace algún tiempo descubrí una falla de seguridad con respecto a la política de contraseña de mi proveedor de teléfonos celulares que básicamente hace que el sitio web, que incluye el acceso a la información personal y las facturas, sea vulnerab...
hecha 02.12.2015 - 09:25
1
respuesta

¿Cuáles son los pros y los contras de divulgar una vulnerabilidad antes de parchearla?

Escuché mucho sobre el proyecto cero de Google y es el plazo de 90 días para la divulgación de vulnerabilidades. Ha tomado algunos flak de Microsoft para revelar los errores antes de parchearlos. Entiendo el argumento de que los usuarios de...
hecha 11.12.2016 - 05:24
5
respuestas

¿Debe notificar a los proveedores de software que su software ha sido descifrado?

Le pido disculpas si este no es el lugar adecuado para hacer esta pregunta; con mucho gusto lo moveré a otro sitio de Stack Exchange si es necesario. Antes de explicar la razón detrás de la pregunta, permítame aclarar algunas cosas primero....
hecha 22.02.2014 - 22:29
2
respuestas

¿Qué hacer si un proveedor no asigna un CVE para una vulnerabilidad de reconocimiento?

Encontramos una vulnerabilidad de seguridad en un producto generalizado de una gran empresa de TI (la compañía aparece como una CNA aquí: enlace ). Notificamos a la compañía, reconocieron el problema y van a lanzar un parche para ello. Pe...
hecha 29.04.2014 - 00:21
1
respuesta

Categorizar una fuga de datos que es intencional / por descuido / por diseño

He encontrado una página web de acceso público que revela datos relacionados con personas cuando se consulta con datos de entrada coincidentes. Esto va en contra de la promesa de protección de datos de la propia compañía. Quiero informar de man...
hecha 16.04.2018 - 10:12
3
respuestas

Divulgación responsable: la compañía está dedicada a la seguridad pero no responde

Contexto: recientemente encontré una vulnerabilidad en una aplicación web para una gran empresa. Tienen una política completa sobre divulgación responsable que seguí para evitar problemas legales. La empresa se compromete a responder dentro de...
hecha 20.02.2017 - 13:33
1
respuesta

¿Formulario web de correo electrónico o SSL / TLS encriptado PGP para la comunicación de divulgación responsable?

Así que es una pregunta bastante simple. Al ofrecer una vía a los investigadores de seguridad para comunicarse con nosotros con respecto a la divulgación de vulnerabilidades de seguridad, ¿cuál es la mejor manera de hacerlo? Supongamos que te...
hecha 27.03.2014 - 14:59
4
respuestas

¿Qué inquietudes particulares se deben tener en cuenta al momento de la conducción?

Estoy considerando comenzar un Wardrive en todo el vecindario, con el objetivo de crear conciencia sobre los riesgos de ejecutar redes inalámbricas no seguras. En este momento, todavía estoy en las etapas de planificación de este proyecto. El...
hecha 17.01.2011 - 16:41
2
respuestas

¿Por qué y dónde se hizo pública Meltdown antes de lo programado por primera vez?

Originalmente, Meltdown y Specter tenían una fecha de divulgación coordinada del 9 de enero de 2018. Algunos vendedores se estaban preparando para lanzar correcciones en ese momento, y fueron sorprendidos cuando las vulnerabilidades se publicaro...
hecha 09.01.2018 - 10:12