前段时间我发现了一个关于我的手机提供商密码策略的安全漏洞,它基本上使网站(包括访问个人信息和发票)容易受到暴力破解(在很短的时间内)和 DoS 的攻击。我向他们的客户支持报告了它,但他们并不真正关心。一位技术人员联系了我,告诉我这没什么大不了的,但他们会调查的。现在,几个月过去了,一切都没有改变。
我的问题是:是否有任何最佳实践来处理这种情况(尤其是迫使公司解决问题并保护他人)而不会被起诉?如果发布问题是一种选择:我应该在哪里做?(我没有博客,所以这不是一个选择。)
如何处理在第三方网站上发现的安全问题?
信息安全
披露
2021-09-04 21:43:29
1个回答
您可以使用下面的表格向 CERT 报告。根据漏洞,CERT 将代表您联系供应商:
https://forms.cert.org/VulReport/
这是上面链接中的引用供您参考:
如果您认为您发现了尚未解决的安全漏洞,请填写以下表格。正如我们的漏洞披露政策所述,我们会将漏洞报告中提交的信息发送给受影响的供应商。默认情况下,我们将与供应商共享您的姓名,并在我们发布的文件中公开承认您。如果您不希望我们分享您的姓名或公开承认您,请在表格中选择适当的回复。
您还可以在此处参考 CERT 政策进行披露:
http://www.cert.org/vulnerability-analysis/vul-disclosure.cfm
如果 CERT 确实联系了供应商,则漏洞将在 45 天后根据上述链接的第一段披露:
向 CERT/CC 报告的漏洞将在初次报告后 45 天向公众披露,无论受影响的供应商是否存在或提供补丁或解决方法。
其它你可能感兴趣的问题