在圣诞节那天，我们的 Web 服务受到了明显的攻击，我们通过阻止（单个）源 IP 做出回应。经过后来的调查，事实证明，“攻击”实际上是一家知名公司的密集漏洞扫描。似乎我们的一位托管客户提出了要求，但我们不确定。

扫描开始于我认为是不存在的验证文件（例如 38fsoif3n4.html）的请求。不幸的是，我们的自定义 404 页面暂时配置错误并返回 200 而不是 404 的 HTTP 响应代码。大概机器人检查了验证文件，对 200 响应感到满意，并继续扫描。

这个版本的事件是从我们的日志文件中拼凑而成的，似乎很有意义。问题是，该公司拒绝与我们讨论这个问题。在他们第一次（也是唯一一次）回答我的问题时，他们承认进行了扫描，并提出将我们的联系信息传递给请求扫描的一方。

这是可以接受的回应吗？我跟进并要求，由于他们在我们不知情或不同意的情况下扫描了我们的服务器 - 并且可能向第三方提供了报告 - 他们至少应该给我们一份该报告的副本。

我还要求他们使他们的验证更加可靠。他们至少应该检查其验证文件的内容，而不是依赖单个 HTTP 200 响应。这是一个相当侵入性的扫描，在短时间内有数千次表单提交和 SQL 注入尝试。有了这种影响，他们可能还应该通过根域电子邮件（例如 postmaster@domain.com）进行验证。

他们根本没有回应这些（我认为是合理的）要求。对于一家安全公司来说，他们的验证方法出人意料地松懈，并且可能向竞争对手或黑客泄露了漏洞。

我应该如何进行？合法吗？行政电子邮件地毯式炸弹？公开羞辱？

编辑澄清

我们并不关心我们的客户，也不会合法地追究他们。我们为非技术用户提供站点构建器/CMS，并将他们的站点托管在子目录中。他们可以上传列入白名单的文件（无代码）并输入文本和 html（如果他们愿意，可以使用客户端 JS）。他们不需要对自己的代码进行渗透测试，因为他们没有。

我们担心的是安全公司未经许可扫描了我们的服务器，大概将扫描结果提供给了第 3 方，现在甚至不会与我们谈论这件事。我很想放手（“嗯，大公司，你要做什么？”），但忽略它似乎是不负责任的。

只是寻找任何杠​​杆，除了律师之外，让公司做出回应。