如果他们通过信用卡处理付款，他们必须保持 PCI-DSS 合规性。您可以随时报告违规行为。他们可能会派出一名审计员并坚持进行补救。整个过程可能需要一年或更长时间。假设您发现了一个真正的问题，如果他们已经在研究它，我不会感到惊讶。

如果一家公司以纯文本形式向您发送您的登录详细信息，无论是您现有的还是新的，您都可以公开羞辱他们。

纯文本犯罪者是一个网站，您只需提交违规电子邮件的屏幕截图即可在该网站上发布他们的愚蠢行为。小心删除任何敏感细节。这是一个值得关注的网站，因此您知道要避免使用哪些公司。

西部数据似乎没有可以直接联系有关漏洞的安全团队。事实上，我在他们的支持网站上发现了一篇帖子，专门询问为什么没有用于漏洞的电子邮件地址或 PGP 密钥，而 WD 没有人回应。

我确实发现有人说他们需要报告漏洞，支持人员回复说他会私信这个人。我建议你也这样做。

我认为这可能属于负责任的披露。您应该采取的一些步骤已经单独提到过，但可能应该作为解决问题的整体方法的一部分。

您应该做的第一件事是将问题报告给支持团队。

详细说明复制问题所采取的步骤（即恢复密码、以纯文本形式接收密码），并包含有关这揭示了他们如何处理密码以及为什么这是一个坏主意的信息。

我还会在过去包含一些关于 simmer 问题的新闻报道，以提供背景信息，例如关于 PlusNet的报道。

我会向他们解释，如果他们在x天（对我来说合理的 90 天接缝）内没有解决问题，你打算采取行动。

告诉他们这个动作是什么。例如，您认为他们正在处理信用卡，因此您打算报告 PCI 违规行为。清楚地说明，如果问题没有得到解决，您打算公开披露该问题。（博客文章、社交媒体、专业媒体报道、“羞辱”网站等）

需要记住的几件事是，即使他们有过错，他们也需要一些时间来实施变更，（尽管值得怀疑）由于 IT 团队缺乏投资和/或技能，他们可能没有意识到这个问题，所以真诚行事，并给他们合理的时间来做出改变。

您应该做的第二件事是按照上述内容进行操作。

这里的问题当然是这个问题直接跳到了公开披露。

鉴于此，我会附上这个问题的链接，因为看到一堆安全专家讨论这个问题无疑会让系统管理员更加敏锐（如果没有，那么西部数据应该寻找新的系统管理员）