Encontré una escapatoria que revela 10000 direcciones de correo electrónico de clientes en un sitio web. ¿Qué tengo que hacer?

Informe a la compañía de inmediato, si no es demasiado tarde, también evite mirar la información de otros clientes. Incluya un PoC que indique información en una cuenta de prueba si es posible. Si esos pasos no son factibles en esta situación, informe a la empresa e incluya un PoC.

En la actualidad, las empresas están mucho menos contentas y hay muchos más precedentes legales para proteger a los investigadores. En cualquier lugar entre 60 y 90 días es bastante común que se incluya una solución después de la notificación (y puede tomar múltiples intentos de notificación, a múltiples direcciones de correo electrónico diferentes). Si la empresa tiene una gestión decente a mitad de camino que sabe qué es una recompensa por errores, le dará una exigua recompensa incluso sin tener una recompensa oficial por errores. De lo contrario, una vez que decida divulgar todo sobre cómo lo encontró (preferiblemente después de ser reparado), habrá una afluencia de investigadores gruñones que sabrán no molestarse en hacer un trabajo gratuito para esa empresa.

Tenga en cuenta que incluso los lugares con recompensas de errores oficiales bien establecidas tienden a negar las recompensas si creen que realmente ha obtenido datos de los usuarios, ya que hacerlo tiende a ser una violación del alcance establecido para la recompensa, pero a veces eso simplemente no se puede evitar.

Lo que definitivamente no debe hacer es tratar de acortar el stock de la compañía en cuestión justo antes públicamente (ya sea de forma maliciosa y anónima, o bajo alguna divulgación completa con el pretexto ‘¡Soy solo un buen investigador!’) Revelando los detalles para causar un daño a la reputación de la empresa y obtener una buena ganancia.

Related Content

¿Qué es un certificado raíz?

¿Por qué son necesarios los 'CAPTCHA'?

¿Norton 2017 antivirus elimina Nova.rambler.ru?

¿Cómo un programa para descifrar contraseñas 'prueba' las contraseñas?

¿Podría ser hackeado mi teléfono inteligente?

Aquí importan dos cosas, tu motivo y tu autoridad moral. Hay una cosa a través de la cual puedes ganar dinero decente y mantenerte en terreno moral también, informar el vacío legal a la compañía que también podrían pagar recompensas (aunque guarda correos electrónicos contigo, SOLO EN CASO). Si la moral no le importa mucho, puede vender fácilmente estas listas o crear un producto propio y comercializarlo.

Gage Bystrom

Si se considera una persona buena y moral, comuníquese con la empresa y proteja a esas personas de la muerte por correo no deseado.

Si eres una persona buena y moral, pero quieres intentar ganar dinero. Póngase en contacto con su periódico local. Suena como el tipo de historia sensacional por la que pagarían, y la escapatoria aún se solucionaría.

Si eres inmoral (y no puedes estar desprovisto de moral, o no hubieras hecho la pregunta), entonces explota la escapatoria y déjala abierta para que otros encuentren e invadan la vida de las personas.

Gage Bystrom

Como dijo Gage Bystrom, lo más responsable es informar esto a la compañía de inmediato. No es raro que las bases de datos de fondo con datos confidenciales como este estén protegidas de forma inadecuada / inadecuada. Ellos necesitan saber Si no se enteran, sus auditores externos lo encontrarán tarde o temprano, y luego tendrán un problema de cumplimiento. Incluso pueden darle un incentivo financiero para mantenerlo en silencio. La mala seguridad es un mal negocio, y ninguna compañía inteligente quiere eso.

Ludovico Grossi

Si desea intentar vender productos a usuarios específicos, simplemente puede configurar una campaña publicitaria en alguna red. En la mayoría de los casos, solo paga por los clics de los usuarios interesados.
Además, solo saber qué tipo de cosas usan para comprarlo no significa que te lo comprarán (¿un correo electrónico no deseado? De ninguna manera)

Póngase en contacto con el sitio web lo antes posible y su karma aumentará.

Gage Bystrom

More Interesting

¿Cómo funcionan los juegos expliots / mods?

¿Qué es un shell inverso en relación con la seguridad informática?

Cómo recuperarse de un ataque cibernético

Cómo ver mi contraseña para mi cajero automático

Cómo cambiar la configuración de mi patrón en mi teléfono

¿Hay alguna regla de compromiso para reaccionar a los ataques de la guerra cibernética? ¿Las convenciones de Ginebra cubren la guerra cibernética?

Cuando las empresas comerciales (es decir, no gubernamentales) que conoce hacen certificación y acreditación de seguridad informática, ¿qué marco utilizan (por ejemplo, el marco de gestión de riesgos del NIST)?

¿Cuáles son algunos buenos analistas / empresas de seguridad de contratos que revisan el código por posibles violaciones de seguridad?

¿Cómo Google Drive 'escanea en busca de virus' en un archivo comprimido?

¿Cuáles son algunos de los mejores teléfonos utilizados para las pruebas de penetración?

Como desarrollador de software y me gustaría aprender más sobre la seguridad del software, ¿puedo recibir capacitaciones / certificaciones especializadas en seguridad web?

¿Alguien puede dañar su propia computadora creando un virus?

¿A qué curso debo unirme para Cyber ​​Security: PG-DITISS en C-DAC o un MTech en Cyber ​​Security Systems and Networks en Amrita?

¿Qué pasa si olvidas la contraseña de un iPhone?

¿Cómo ciframos los datos tanto locales como en el servidor y ofrecemos una opción de recuperación de contraseña para que nunca pierdan sus archivos?