背景:
几年前,我问过这个问题,关于披露在我高中计算机网络中发现的一些严重漏洞。
两年多后,校长得知(通过无意中听到其他学生的谈话)我被传言是“黑客”,并把我叫到他的办公室询问(不相关的)可疑网络活动。副总监和两名学区信息技术人员出席了本次会议。误解了这种情况,我假设他们知道我所知道的程度,并解释了我发现的问题:
- 网络管理员密码可供所有用户访问,并且位于每台计算机上的纯文本文件中
- 每台计算机都有一个本地管理员帐户,无需密码即可登录
- 整个建筑物的安全摄像头都可以通过有线和无线网络访问,并且可以实时流式传输、转动、设置为停止录制、禁用或以其他方式被弄乱;流未加密,基于 Web 的摄像机控制面板使用默认(或不使用)凭据
- 可以轻松绕过(否则无密码)无线网络的基于 Web 的登录,允许任何人访问它而无需验证自己是学生
- 可以轻松绕过内容过滤和网站阻止系统
我还解释说,我几年前就发现了这些问题,由于害怕后果,我没有解释也没有报告。我想我的几个重大漏洞的意外披露让校长感到意外,他说如果我停止对网络的所有“探索”并停止绕过学校的内容过滤系统,我不会被停学或开除。我也觉得我可能让房间里的 IT 人员有点尴尬。他们解释说,如果我不告诉他们,他们就不会知道我的活动。
我已经毕业了,但是就在毕业之前(大约在我与校长交谈一年后),我想检查我发现的问题是否得到解决,尽管被明确指示不要这样做。一个都没有。我已经毕业了,但我仍然非常重视这些问题。我觉得我发现的漏洞对学区的数千名学生构成了重大的安全风险。如果漏洞被组合使用,则尤其如此,因为例如,任何人都可以访问无线网络(以及摄像头)而无需从建筑物外部进行身份验证。
问题:
我想知道最好的行动方案,记住我直接违反了校长的明确指示,这些问题为各级地区管理人员和 IT 人员所知道,并且他们已经了解了整整一年。我的身份现在也被知道了,这意味着如果我把这些问题重新提出来,就很难匿名了。考虑到这些因素,我的问题如下: