Esta puede ser una respuesta cínica, pero se basa en el estado actual de comprensión pública (bueno, falta de ella) de la seguridad de la información y en las reacciones recientes a las personas que intentan hacer lo correcto.
Las empresas ganan dinero. No son obras de caridad. Su propósito principal para la existencia son las ganancias.
En consecuencia, son propensos a culpar a todos menos a ellos mismos por las deficiencias de seguridad y por perseguir a quienes señalan sus vulnerabilidades.
- ¿Es la escasez de habilidades en ciberseguridad un mito?
- ¿Qué opina de la afirmación de la Agencia de Seguridad Nacional de los EE. UU. (NSA) de que frustraron un complot para destruir la economía de los EE. UU.
- ¿Cuáles son algunos sitios web que comúnmente dan a los popups 'su computadora tiene un virus'?
- ¿Por qué los sitios web nos hacen seleccionar contraseñas extremadamente complejas, cuando ese método de piratería (fuerza bruta) ha sido obsoleto durante años?
- ¿Cuáles son algunos proyectos fáciles que usan criptografía?
Además de eso, debido al uso públicamente aceptado pero no ignorante, desinformado y simplemente sin educación de la palabra “pirata informático” como una palabra para ciberdelincuente, incluso las entidades policiales y judiciales tienen una visión severamente distorsionada de la seguridad de la información.
Con todo esto en mente, un internauta respetuoso de la ley, ético y consciente de la seguridad no debería arriesgarse a ser perseguido y procesado contactando a una empresa. Al menos definitivamente no con la intención de obtener crédito y reconocimiento.
Si bien estas compañías merecen sufrir severas crisis financieras por su irresponsabilidad y arrogancia, desafortunadamente, a menudo los clientes / clientes inocentes son los más afectados. Para proteger a estas víctimas, si elige informar a una empresa sobre sus vulnerabilidades, hágalo de forma anónima.
Claro, algunas personas creen que publicitar la vulnerabilidad para forzar a la empresa a actuar es la única forma, pero eso solo perjudica a los clientes. Al menos contacte anónimamente a la compañía primero.
No esperes crédito, reconocimiento o recompensa. Si lo hace, puede ser acusado, acosado o colocado en una lista de exclusión aérea (realmente sucedió).