这或多或少是我之前问题的延续:作为一名学生,我如何安全、负责任地披露学校环境中的严重安全问题?
在我发送了概述此安全问题的匿名信四个多月后,我仔细检查了我报告的漏洞是否仍然存在,并且它仍然完整存在。进行了一些不相关的 IT 更改,但这些更改主要针对员工(例如引入 BitLocker)。
从我报告它到现在,我从一位密友(与我来自同一地区的不同学校)那里听说了一个不同的安全问题,并试图向他的计算机科学老师报告,后者又将其报告给 IT 部门。然而,这位 IT 主管并没有尊重学生的匿名性,而是以他的工作威胁教师(不知道他将如何实施这种威胁),如果他不泄露发现安全漏洞的学生的身份,并且还威胁受到纪律处分或逮捕的学生。不管故事的准确性如何,我觉得我通过匿名和独立的书面信函报告了这一点是正确的。
但是,问题根本没有得到解决。这封信被发送到两个不同的部门,以确保问题被大声清晰地听到,并制定解决方案。但这一切都没有发生。事实上,就好像一个人读了这封信并说服另一个人把它扔掉一样。
该漏洞利用仍然很危险,在这一点上,我几乎可以肯定我不是唯一知道它的人。
我可以发送另一封匿名信,进一步解释公开此漏洞的含义。但是做其他事情会很困难,因为这会威胁他们采取“或其他”的行动。我会变成一顶灰色(呃)帽子。
在发生大事之前,我怎么强调解决这个安全问题的重要性都不为过。但我不能威胁他们做任何事,因为那意味着我愿意做错事。我有哪些选择?