Quando colegas de faculdade fazem ameaças com acusações criminais

 (miles.land)
2 pontos por GN⁺ 2023-08-29 | 1 comentários | Compartilhar no WhatsApp
  • O autor compartilha a experiência de ter recebido ameaças legais de colegas enquanto fazia pesquisa de segurança de boa-fé
  • O autor e amigos interessados em segurança descobriram uma vulnerabilidade no aplicativo de mídia social anônima chamado Fizz
  • Eles informaram a vulnerabilidade ao Fizz de forma responsável, mas, em vez de corrigir o problema, a Fizz enviou ameaças e exigiu silêncio
  • O autor pediu ajuda jurídica à Electronic Frontier Foundation (EFF) e redigiu uma resposta às ameaças da Fizz
  • A situação foi resolvida de forma amigável, e a Fizz acabou divulgando o problema aos usuários
  • Ao refletir sobre a experiência, o autor compartilha três lições principais, como conduzir a pesquisa legalmente e documentá-la bem, manter a calma diante de ameaças legais e buscar o apoio de um advogado
  • Por fim, o autor passa a palavra a outro palestrante para compartilhar experiências sobre outros aspectos do processo de divulgação de vulnerabilidades

Leituras relacionadas

1 comentários

 
GN⁺ 2023-08-29
Comentários no Hacker News
  • Um advogado da equipe da EFF pode ter exagerado ao afirmar uma violação da CFAA.
  • Os pesquisadores podem ter violado a lei ao criar contas de administrador sem autorização.
  • É improvável que os pesquisadores enfrentem consequências legais devido à boa-fé de suas intenções e à ausência de danos significativos.
  • Os advogados da Fizz cometeram o erro de violar regras que exigem cautela ao ameaçar com processo criminal.
  • Este artigo reflete uma mudança favorável aos pesquisadores de segurança e mostra uma evolução positiva na forma como a divulgação de informações é tratada atualmente.
  • O artigo do Stanford Daily revela a extensão da violação de privacidade da Fizz e da ausência de medidas de segurança.
  • Ashton Cofer e Teddy Solomon, da Fizz, responderam de forma fraca à situação e se recusaram a oferecer comentários adicionais.
  • Segue em andamento a discussão sobre as consequências das ameaças legais e a necessidade de responsabilização.
  • Estão sendo levantadas dúvidas sobre o valor de definir uma data de aplicação na divulgação de informações de segurança.
  • Há críticas à tendência de pesquisadores de segurança explorarem vulnerabilidades para branding pessoal.
  • Foi mencionado o desafio do assédio jurídico e a necessidade de mecanismos mais proativos.
  • O artigo está sendo elogiado por apontar a falha da Fizz em proteger os dados dos usuários.