我似乎发现自己经常这样做。或许高校外包给糟糕的 webdev 公司是有原因的,但我已经给 3 家不同的公司发了电子邮件,抱怨他们持有纯文本密码。
其中之一,UCAS拥有我的大部分个人详细信息,并且拒绝承认当您通过“丢失密码”表格时,他们以不安全的电子邮件形式发送您的电子邮件、密码和 ID 号是很糟糕的。
归根结底,我想帮助公司改进他们的软件,为了他们和我的利益,但似乎很多人认为这是个人的,或者当我指出一个缺陷时,好像我在诋毁公司。
我总是强调我报告它是因为我希望问题得到解决,并且我无意利用它或分享细节。
在这种情况下,我能做些什么来增加成功结果的可能性?
作为系统的用户,我是否有资格做这种事情?
我会礼貌地通过电子邮件通知他们您发现了一个安全漏洞(我知道您已经这样做了)然后向他们展示证据(例如,您通过wireshark捕获您朋友的信息。在您朋友的知情同意下)和礼貌地解释了在一天中从数百名学生那里获取信息是多么微不足道,甚至不必坐在电脑前。
我个人也会自愿告诉他们,您很乐意向他们展示漏洞是什么,并让他们知道您计划展示他们的解决方案校报(无论是新闻通讯),以便他们展示他们如何一直在改进,甚至抓住其他群体(比如他们的网络开发人员)犯的错误
因此,老实说,最重要的事情通常是给他们一个截止日期,并让他们知道这将被发布以及您计划何时发布。这给了他们一个非常邪恶的选择....修复它并看起来很适合修复一个坏问题,或者不修复它并且看起来他们不知道他们在做什么而不检查他们应该知道的事情的。这成为他们的问题,而不是你的问题
编辑:我读了你的电子邮件成绩单。我的最后一段是正确的。通常最好的做法是告诉他们您打算向发现漏洞的任何人发布。不要过分烦人(你有三天,否则我会公开)给他们几周到一个月的时间让他们解决这个问题。
同时,他们可能会在几个小时内找到甚至替换它,如果他们很好的话,或者如果他们必须从头开始构建它,则可能需要一两天。用你最好的判断。