我是否应该在互联网上通知随机的人他们的数据可能会受到损害?

信息安全 密码管理
2021-09-02 14:14:20

我在一个相当知名的密码管理器中发现了数据泄漏。我目前正在与开发人员进行谈判以纠正此问题。然而,为了证明这是一个错误,我偶然发现了一个任何人都可以自由访问的用户数据。它所需要的只是一个简单的谷歌搜索,您可以查看数据。

鉴于我在美国(我目前居住的地方)看到很多人因为仅仅指出安全漏洞而被起诉,我是否应该给这个随机的人发电子邮件并告诉他们他们的数据在外面让全世界都可以看到?

1个回答

你在通知开发人员他们的产品存在缺陷方面做了正确的事情。

现在,是否通知您意外发现其密码的用户,这取决于您的道德规范。这似乎是一个重大的安全漏洞,所以我可能会这样做。

如果您选择向用户报告违规行为,您可以匿名进行。您可以从一次性电子邮件帐户发送消息,因为我认为用户试图起诉您的可能性很小。(您可能有更大的被开发者起诉的风险。)如果您感到偏执,并且希望完全匿名,只需运行一个实时Tails CD 并从那里通过Sendy发送一封匿名电子邮件

其它你可能感兴趣的问题
上一篇在保护用户的 SMBIOS UUID 方面我应该走多远? 下一篇系统漏洞还是 OpenSSH 故障?