我意外发现了一个错误配置 (?) 安全漏洞：工作站管理系统使用默认凭据公开。管理员/管理员

该系统包含 arround 2k 工作站，具有软件部署、擦除、远程设备控制等功能。

我真的很想通知公司，不知道最好的方法是什么？

可以使用例如hackerone或一些类似的服务吗？我应该只发送电子邮件吗？如果有，给谁？

我不确定通过尝试该登录组合是否违反了任何法律？我在寻找产品演示时通过搜索引擎找到了该系统。

编辑：我研究了一些关于披露的主题。基本上他们都建议以礼貌的方式联系供应商。问题是供应商和产品方面似乎一切正常，用户根本没有通过更改凭据来遵守安全最佳实践

编辑：我不认为这是重复的： 如何以道德的方式披露安全漏洞？

我认为原因如下： 它与影响多个客户的供应商应用程序的错误无关。它基本上是系统的错误配置，允许将底层系统暴露给公众。他们使用的产品一切正常。由于这是偶然的，可能有不同的法律法规甚至禁止访问他们的系统，这取决于系统所在的国家/地区。这只是一个道德问题，因为在我个人看来，通知受影响的公司是正确的, 比让它滑动要好