Cuando tus compañeros te amenazan con cargos graves

 (miles.land)
2 puntos por GN⁺ 2023-08-29 | 1 comentarios | Compartir por WhatsApp
  • La autora comparte la experiencia de haber recibido amenazas legales mientras hacía investigación de seguridad de buena fe junto con otros estudiantes
  • La autora y unos amigos interesados en seguridad encontraron una vulnerabilidad en una app de redes sociales anónima llamada Fizz
  • Reportaron la vulnerabilidad a Fizz de manera responsable, pero en lugar de corregir el problema, Fizz les envió amenazas y les exigió guardar silencio
  • La autora pidió ayuda legal a la Electronic Frontier Foundation (EFF) y redactó una respuesta frente a las amenazas de Fizz
  • La situación se resolvió de forma amistosa y Fizz finalmente reveló el problema a sus usuarios
  • Al reflexionar sobre la experiencia, la autora comparte tres lecciones principales, como investigar dentro de lo legal y documentar bien el proceso, mantener la calma ante amenazas legales y buscar apoyo de un abogado
  • La autora concluye cediendo la palabra a otros ponentes para que compartan experiencias desde otros aspectos del proceso de divulgación de vulnerabilidades

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-08-29
Comentarios en Hacker News
  • El abogado del personal de la EFF podría haber exagerado en sus declaraciones sobre una supuesta violación de la CFAA.
  • Es posible que los investigadores hayan infringido la ley al crear cuentas de administrador sin autorización.
  • Es poco probable que los investigadores enfrenten consecuencias legales debido a sus buenas intenciones y a la ausencia de daños significativos.
  • Los abogados de Fizz cometieron un error al amenazar con un proceso penal, infringiendo normas que exigen actuar con cautela.
  • Este artículo refleja un cambio favorable hacia los investigadores de seguridad y muestra una evolución positiva en la forma en que actualmente se maneja la divulgación de información.
  • El artículo de Stanford Daily revela el grado de la invasión de privacidad de Fizz y la ausencia de medidas de seguridad.
  • Ashton Cofer y Teddy Solomon de Fizz respondieron débilmente a la situación y se negaron a dar comentarios adicionales.
  • Sigue en curso la discusión sobre las consecuencias de las amenazas legales y la necesidad de rendición de cuentas.
  • Se están planteando dudas sobre el valor de fijar una fecha de ejecución en la divulgación de información de seguridad.
  • Hay críticas a la tendencia de algunos investigadores de seguridad a aprovechar las vulnerabilidades para su marca personal.
  • Se mencionó el desafío del acoso legal y la necesidad de mecanismos más proactivos.
  • Este artículo está siendo elogiado por señalar la falla de Fizz en la protección de los datos de los usuarios.