如何向不认为存在问题的大型组织报告漏洞?

信息安全 身体的 企业政策 键盘记录器
2021-09-02 03:59:12

这个问题更多的是政治而不是技术。

该组织有许多通过网络浏览器连接到中央数据库的计算机。客户经常无人看管,每次物理访问终端的时间超过 15 分钟。我报告说它们容易受到硬件键盘记录器的攻击。IT 部门的官方回应是:“我们知道这种可能性,并且有解决方案。获取密码对攻击者没有任何好处。” 但上级不让他再说什么——默默无闻的安全。

关键是:我认为他们在虚张声势。我不知道他们的解决方案是什么,但是当您拥有物理访问权限时,就会打开数百个攻击向量。他们真的只是因为风险(攻击概率)低到足以超过提高物理安全性的成本而不担心吗?我如何让他们倾听?甚至值得努力吗?

2个回答

由于您是该公司的客户,它可能会为您提供更多选择。一些值得考虑的事情:

  • 给公司CEO写一封信。复印这封信并将其发送给与您交谈的人以及他们的经理。
  • 如果你认为你能找到任何对这个故事感兴趣的人,请通知媒体。
  • 向商业改善局(如果您在美国)提出投诉并将其发送给 CEO
  • 把你的生意带到别处,告诉他们你为什么要这么做。

老实说,我认为其中任何一个都不太可能起作用,但听起来它们现在正在照亮你,所以你的选择是有限的。

你确实报告了它。让他们倾听不是你的责任。归根结底,是他们的公司、他们的风险、他们的成本来解决问题。

你已经做出了适当的努力——你没有任何影响力来应用任何进一步的努力。

其它你可能感兴趣的问题
上一篇我可以相信像谷歌这样的大公司不会存储失败的密码尝试吗? 下一篇Gmail 2 因素身份验证是否会提高智能手机的安全性?