Cómo hacerle saber a una empresa que encontré una forma de acceder a información crucial (código fuente del producto y archivos de empleados), sin ser perseguido por ‘piratería’

Esta puede ser una respuesta cínica, pero se basa en el estado actual de comprensión pública (bueno, falta de ella) de la seguridad de la información y en las reacciones recientes a las personas que intentan hacer lo correcto.

Las empresas ganan dinero. No son obras de caridad. Su propósito principal para la existencia son las ganancias.

En consecuencia, son propensos a culpar a todos menos a ellos mismos por las deficiencias de seguridad y por perseguir a quienes señalan sus vulnerabilidades.

• ¿Es la escasez de habilidades en ciberseguridad un mito?
• ¿Qué opina de la afirmación de la Agencia de Seguridad Nacional de los EE. UU. (NSA) de que frustraron un complot para destruir la economía de los EE. UU.
• ¿Cuáles son algunos sitios web que comúnmente dan a los popups 'su computadora tiene un virus'?
• ¿Por qué los sitios web nos hacen seleccionar contraseñas extremadamente complejas, cuando ese método de piratería (fuerza bruta) ha sido obsoleto durante años?
• ¿Cuáles son algunos proyectos fáciles que usan criptografía?

Además de eso, debido al uso públicamente aceptado pero no ignorante, desinformado y simplemente sin educación de la palabra “pirata informático” como una palabra para ciberdelincuente, incluso las entidades policiales y judiciales tienen una visión severamente distorsionada de la seguridad de la información.

Con todo esto en mente, un internauta respetuoso de la ley, ético y consciente de la seguridad no debería arriesgarse a ser perseguido y procesado contactando a una empresa. Al menos definitivamente no con la intención de obtener crédito y reconocimiento.

Si bien estas compañías merecen sufrir severas crisis financieras por su irresponsabilidad y arrogancia, desafortunadamente, a menudo los clientes / clientes inocentes son los más afectados. Para proteger a estas víctimas, si elige informar a una empresa sobre sus vulnerabilidades, hágalo de forma anónima.

Claro, algunas personas creen que publicitar la vulnerabilidad para forzar a la empresa a actuar es la única forma, pero eso solo perjudica a los clientes. Al menos contacte anónimamente a la compañía primero.

No esperes crédito, reconocimiento o recompensa. Si lo hace, puede ser acusado, acosado o colocado en una lista de exclusión aérea (realmente sucedió).