假设您打电话给您的银行并能够开始谈论您的个人财务状况,而无需向他们提供任何真实的身份证明。那么我想的第一件事就是改变你的银行。但是,如果 X 公司是您的大学/学院/学校或政府,它可能就不那么实际了。
假设您不愿意/不能更改为另一个服务提供商,并且您不希望他们与世界其他地方共享您的信息。你做什么工作?很难打电话给公司并告诉它需要进行全面的渗透测试。在这种情况下,他们有防守的倾向。
所以我的问题是你如何告诉/证明一家公司它的安全性很弱,他们需要做些什么来保持在法律的范围内?(我认为这主要适用于较大的公司/组织,因此请将您的答案集中在他们身上。)
毕竟冒充和大多数在线安全测试都是非法的。毕竟如果你的名字是robert') DROP TABLE students;--那么这只是一个时间问题,直到你意外找到一些东西。:)
您如何解决公司或组织中的社会工程和/或软件弱点/担忧?
我同意闯入是个坏主意。
此外 - 您可能会认为,虽然您是该组织的客户,但上市的价值也有限,因为发生的任何闯入事件也可能对您造成损害。
我同意你最好的选择是退出你的从属关系并找到一家具有更好安全实践的公司......但我停留在问题的范围内并假设这不是一个选择。
一个好的做法是找到合适的人并告诉他们您的担忧。在大型组织中很难找到合适的人选,因为很可能不是在客户支持部门接电话的人。选项包括:
其中大部分将花费大量时间。在最初几次寻求帮助的尝试中,您可能会失败。这可能是一场重大斗争。但如果是你的数据,而你没有其他选择来寻找更好的资源,那么这种战斗可能是正确的选择。
YMMV - 我的经验集中在美国 不能说其他政府提供相同的保护。
对于社会工程来说,这非常困难,但您仍然可以要求(例如)通过电子邮件与您进行的任何通信都应该使用 PGP 或使用特定的电话密码。
现在关于技术方面的内容,您实际上是客户并在您的站点上拥有产品是相当容易的。在这种情况下,是的,您要求通过安全顾问评估您的产品。您发现的问题会报告给他们,说您需要在发现问题时对其进行修复。
现在关于云端解决方案,如大学账户、网上银行……您需要联系 secure@bank/univ.com 并要求他们在一定时间内修复它。你礼貌地告诉他们,如果没有回复,你将不得不联系媒体(你不需要这样做,只是威胁)。当然,您会得到答复,但这并不意味着肯定答复,而是对他们是否会修复它的评估。之后,这是一个个案。