I found a Vulnerability. They found a Lawyer
6 days ago
- #GDPR
- #Cybersecurity
- #Vulnerability Disclosure
- 一名潜水教练兼平台工程师在一次潜水旅行中发现了一家大型潜水保险公司会员门户的关键漏洞。
- 该漏洞涉及连续数字用户ID和静态默认密码,导致包括未成年人在内的敏感个人数据泄露。
- 研究人员遵循标准的30天保密期规范,向马耳他CSIRT及涉事机构负责任的披露了该问题。
- 但该机构非但没有表示感谢,反而发出法律威胁,并试图用保密协议让研究人员保持沉默。
- 漏洞最终得到修复,但研究人员质疑受影响的用户(尤其是未成年人)是否如GDPR要求的那样收到了通知。
- 该事件揭示了机构普遍将声誉置于安全性和透明度之上的问题模式。
- 建议包括制定明确的漏洞披露政策、感谢研究人员、以及不将安全故障归咎于用户。