所以我不确定如何处理我发现的东西。这是一个非常简单的安全漏洞,但如果被利用会打开大量个人数据。
我在一个政府公用事业(故意含糊不清)网站上,我在恢复密码时遇到了问题。我注意到它能够在不请求新页面的情况下告诉我我的安全问题答案无效,我认为这很奇怪,所以我打开了我的开发工具,发现它完全依赖 Javascript 来确定我的答案是否正确。可以肯定的是,我的函数总是返回 true 并且我看到了密码更改屏幕,而且它(可笑)不需要旧密码。我更改了密码,并且可以再次访问我的个人资料,只需要用户名即可访问我的信息。
我试图通过电子邮件向网站管理员发送有关此问题的信息。没有反应。我很担心,因为我在网站上没有做太多事情,而且我已经有了我的 SSN、银行账户路由/acc 号码、个人地址等。
我该怎么办?我不想在几个月后听到其他业余黑客获得了所有信息并出售/泄露了它。谢谢!
联邦政府网络应用程序有任何问题,我会联系我的国会议员办公室。
他们越来越意识到和关注政府计算机系统的安全和隐私。你可以对我们陷入僵局、效率低下的国会说你想要什么,但他们仍然很擅长在他们资助的各个政府机构中促成事情。告诉他们你在上面写了什么,尤其是你从来没有得到回应。
如果您没有从中获得牵引力,请让他们知道,当您最终与媒体联系时,国会议员现在处于“知道但什么也没做”的人的链条中。
我认为打电话给他们索要钱是一个冒险的想法。
大多数国家/地区都有您可以联系的计算机应急响应小组 (CERT),例如:US-CERT、CERT 澳大利亚等。他们通常有正确的联系来解决问题。Google CERT 加上您的国家/地区名称即可开始使用。
作为一名前政府签约的 Web 服务管理员,我的经验是,几乎所有服务都遵循指定联系人的要求,该联系人对服务本身具有认知所有权——他们的联系信息应该出现在应用程序的某个地方,任何可证实的安全错误都会通常会导致您期望的响应类型,并升级给管理员或工程师。如果这不起作用,则可能是上级机构有一个 Web 服务联系人也可以指导该问题。
将来,您可以通过详细说明受影响的站点而不是漏洞利用来提高您获得相关帮助的能力。您现在处于两难境地,您无法指出该站点以寻求帮助以找到联系人,因为如果发生任何不好的事情,这样做可能会牵连您。
e: 刚刚意识到我把发布日期误读为今天,4 月 15 日。尽管上面的答案可能仍然有效,但请随意忽略我。