我应该给他们第二次机会吗

是的。在采取任何进一步行动之前，通常要等待几个月并与开发公司进行多次沟通。

如果公司表明它不愿意解决这个问题，下一步可能是公开披露这个问题。

或联系某种数据保护机构？

这是一个好主意。我没有这方面的经验，但你至少可以告诉这样的权威你发现了什么，并正在与公司讨论下一步。

您是否认为这些问题/漏洞至关重要？

不，但这表明他们没有采取任何措施来保护他们的系统，因此很可能存在更严重的漏洞。

虽然这些不是超级关键，但我个人会进行负责任的披露。

简而言之，这意味着您通知他们这些漏洞，并告诉他们您将在 x 天后发布这些漏洞——无论他们是否修复了这些漏洞。

谷歌有一个 90 天的披露政策，这在现在看来是相当标准的。

这样做的想法是：

• 你给公司一个合理的时间来解决问题
• 您还让他们负责并施加压力以及时修复

您显然应该尝试直接联系他们的安全人员（如果他们有的话）并尽可能帮助他们。但是，如果他们不做出反应并且不及时修复，请公开。除了发布之外，您还可以联系适当的权威机构——尤其是在您没有得到任何反应的情况下。

如果在欧洲发生这种情况，他们将违反 GDPR，因为他们没有适当地保护个人数据，如果你联系监管机构，他们可能会面临罚款和一些令人不快的问题。

如果您希望保持匿名，您还可以尝试联系已建立的信息安全专业人士，看看他们是否会公开或建议您。

发布（甚至通过推特）也会产生副作用，您可以为自己建立一个名称。

我能因此惹上麻烦吗？

当然，公司可能对披露不满意，并可能试图合法地对研究人员或记者进行报复。

如果你在法律的范围内，你可以成功地抗辩这种诉讼，但这并不意味着他们不会给你带来大麻烦。

就法律而言： 允许或不允许的内容在世界不同地区可能会有很大不同；你需要检查你当地的法律是什么。大多数西方国家允许进行安全研究，但不允许您实际访问机密数据或破坏系统（甚至不能作为概念证明）。

一些选项是：

• 发布时保持匿名（尽管您需要知道如何保护您的身份）
• 给记者小费。他们会保护您作为消息来源，但不能保证他们对您的案件感兴趣
• 向当局举报，但不能保证他们会跟进此案
• 向专业从事此工作的研究人员（或团队）提示。他们将拥有经验和法律部门
• 坚持首先为安全研究人员提供“避风港”的公司。

也就是说，如今大多数公司似乎都欣赏善意的评论，许多公司甚至会给予公众荣誉或奖励。

注意：一些公司提供赏金，但作为回报，您希望您同意未经他们的许可不得发布。研究人员拒绝赏金而不是受此类条款约束的情况并不少见。

您不能在没有他们要求的情况下仅执行安全审计，因为它也可能被解释为黑客攻击（这与意外发现它不同）。将其与 Google 的政策进行比较时，这是一个非常糟糕的比较，因为 Google 会为此提供赏金——他们确实要求提供赏金——并且他们会为识别可能的攻击媒介付费。

如果您对他们处理您的个人身份信息的方式感到不舒服，只需取消您的会员资格并要求删除，这是您根据《通用数据保护条例》(GDPR) 享有的权利。在该法律框架内，他们很可能不得不指定一名DPO，即所谓的“数据保护官”，负责确保遵守法律。

除非能够浏览他们的客户数据库并截取屏幕截图作为证据，否则最好将您的时间花在有意义的事情上……例如在森林中匿名慢跑，免费和隐私问题。