私の大学は非常に脆弱なサービスをホストしています。 4年前に警告しました。私は何をすべきか?
4年前に、大学のWebサイトにあるアプレットがSQLクエリをサーバーアプリケーションに直接送信することを発見しました。データベースには、学生と学年に関する名目上の情報と個人的な情報が含まれていますが、それ以上(SSNs?).
2010年12月、私は彼らに潜在的な脆弱性について警告し、彼らは私に感謝しました。 CTOが警告されたという事実を知っています。
4年後、アプリケーションはまだ稼働しています。メカニズムは変更されておらず、(解読された)パケットキャプチャには、クライアントからサーバーに送信されるSQL要求が引き続き表示されます。それは可能性がありますサーバーがそれらを有効な要求のリストなどに対して何らかの方法でチェックすることを確認しますが、確信が持てず、おそらくトリガーなしでトリガーしたくないいくつかのトリップワイヤーがある正式な承認–これは私が期待しているものではありません。
私は何をすべきか?
あなたがその大学の学生ではなくなった場合、your個人データの取り扱いに十分な注意を払わなかったとして、彼らを訴えることができます。技術的には、あなたがまだ学生である場合にもそれを行うことができますが、学生ではなくなったということは、彼らがそのように考えていると報復に苦労することを意味します。
ここでの重要な点は、潜在的な犠牲者であることは、これらの問題にあなたの鼻を入れるための許容できる理由をあなたに与えるということです。そうしないと、実際にソフトウェアを修正するのではなく、Evil Hacker™としてフラグを立て、弁護士の穴に投げ込むことによって問題を処理するのは非常に簡単です。
出身地はわかりませんが、オランダには「国立サイバーセキュリティセンター」と呼ばれるものがあります。これは実際にはCERTの一種です。政府システムのセキュリティ欠陥に加えて、他の重要なシステムのセキュリティ欠陥について警告することもできます。オランダに住んでいる場合は、それを確認する必要があります。 https://www.ncsc.nl/security 他の場所に住んでいる場合は、政府の第三者のシステムにおけるセキュリティの欠陥と責任ある開示について彼らが言っていることを確認するための国のCERTのウェブサイト。
このウェブサイト: http://www.first.org/members/teams 世界中のCERTのウェブサイトのリストを見つけることができます。