Giả sử gần đây bạn đã phát hiện ra một số lỗ hổng lớn trong một số trang web kích hoạt chủ yếu ở quốc gia của bạn và rất mạnh mẽ trên thị trường của họ. Các lỗ hổng mà tôi đang nói đến là tồi tệ hơn khi cho phép tôi duyệt giao diện quản trị với các đặc quyền quản trị viên cấp cao.Hacking/cracking deontology
Bạn sẽ làm gì bây giờ? Tôi đang nghĩ về điều gì đó như:
- Báo cáo sự cố cho công ty.
- Công khai thông báo rằng có lỗ hổng bảo mật trong các ứng dụng đó, nhưng không tiết lộ khai thác thực tế.
- Dành thời gian cho công ty khắc phục sự cố. (Bao nhiêu?)
- Sau khi sự cố đã được khắc phục, hoặc thời gian gia hạn để sửa chữa đã trôi qua (tùy điều kiện nào đến trước), hãy tiết lộ đầy đủ lỗ hổng.
Các bạn nghĩ sao? Bạn có một số tài liệu để đọc về điều này hoặc kinh nghiệm để chia sẻ?
Ở nhiều nước bạn không được phép để giữ im lặng nếu bạn biết về điều đó có thể gây tổn hại cho người tiêu dùng/công chúng nói chung. Vì vậy, nếu công ty không khắc phục sự cố trong thời gian _reasobale_ (hoặc thậm chí không bận tâm liên hệ với bạn), bạn có thể xuất bản thông tin. – Jacco