Что будет за раскрытие факта уязвимости на гос-ресурсе?
Добрый день.
Случайно нашел уязвимость на крупном гос ресурсе, через которую можно спереть перс данные (фио, номер паспорта и т.д.) о их пользователях (пол России)
Написал в поддержку, сказали спасибо, передадут в ответственное подразделение.
Прошла неделя, ничего не исправлено. Сказал что если не исправят - буду писать в сми - молчание.
Есть ли риски, если я раскрою факт наличия у них уязвимости, без ее описания?
С одной стороны есть понимание что без привлечение внимания никто не пошевелится, а в это время перс данные (в том числе и мои) могут слить.
Да я и не скрываюсь, они прекрасно знают кто я такой.
Да и уязвимости там нахожу не первый раз - раньше просто их фиксили в мгновенье ока (был контакт человека, ответственного за это), сейчас команда поменялась.....
mitaichik, Ну тут следует четко понимать - нашли проблему, вы можете сообщить об этом в поддержку.
А они могут либо пофиксить это проблему, либо оставить как есть - это их дело.
Напишите обращение в Роскомнадзор. Персональные данные - это их вотчина.
Мол, данный сайт раздает персональные данные направо и налево, прошу провести правовую оценку и принять меры.
Не пишите про взлом или ещё что-то. Иначе это повод для ст. 272 УК РФ. Плохо, что вы угрожали публикацией в СМИ. Это тоже могут использовать против вас.
Можете найти руководство и выйти к ним на беседу. Если этот сайт делали не из госсектора (есть спец ведомство), то можете и туда обратиться может вам работу предложат ))
Простой
