Quand des camarades vous menacent d’accusations criminelles

 (miles.land)
2 points par GN⁺ 2023-08-29 | 1 commentaires | Partager sur WhatsApp
  • L’auteur partage son expérience d’avoir reçu des menaces juridiques de la part d’autres étudiants alors qu’il menait, de bonne foi, des recherches en sécurité
  • L’auteur et des amis intéressés par la sécurité ont découvert des vulnérabilités dans Fizz, une application de réseau social anonyme
  • Ils ont signalé ces vulnérabilités à Fizz de manière responsable, mais au lieu de corriger le problème, Fizz a envoyé des menaces et exigé le silence
  • L’auteur a demandé une aide juridique à l’Electronic Frontier Foundation (EFF) et a rédigé une réponse aux menaces de Fizz
  • La situation s’est réglée à l’amiable, et Fizz a fini par divulguer le problème à ses utilisateurs
  • En revenant sur cette expérience, l’auteur partage trois leçons principales : mener les recherches légalement et avec une bonne documentation, garder son calme face aux menaces juridiques et obtenir le soutien d’un avocat
  • L’auteur conclut en passant la parole à d’autres intervenants pour qu’ils partagent leur expérience sur d’autres aspects du processus de divulgation de vulnérabilités

À lire aussi

1 commentaires

 
GN⁺ 2023-08-29
Commentaires Hacker News
  • L’avocat salarié de l’EFF a peut-être exagéré dans ses déclarations concernant les allégations de violation du CFAA.
  • Les chercheurs ont peut-être enfreint la loi en créant des comptes administrateur sans autorisation.
  • Les chercheurs ont peu de chances de faire face à des conséquences juridiques, en raison de leurs intentions de bonne foi et de l’absence de préjudice important.
  • Les avocats de Fizz ont commis une erreur en violant les règles de prudence à respecter en menaçant d’engager des poursuites pénales.
  • Cet article reflète une évolution favorable envers les chercheurs en sécurité et montre un changement positif dans la manière dont les divulgations sont traitées aujourd’hui.
  • L’article du Stanford Daily révèle l’ampleur de l’atteinte à la vie privée et de l’absence de mesures de sécurité chez Fizz.
  • Ashton Cofer et Teddy Solomon de Fizz ont réagi timidement à la situation et ont refusé de faire d’autres commentaires.
  • La discussion se poursuit sur les conséquences des menaces juridiques et sur la nécessité d’une responsabilisation.
  • Des questions sont soulevées sur l’intérêt de fixer une date d’application dans la divulgation d’informations de sécurité.
  • Il existe des critiques sur la tendance de certains chercheurs en sécurité à exploiter les vulnérabilités pour leur image personnelle.
  • Le défi du harcèlement juridique et la nécessité de mécanismes proactifs ont été évoqués.
  • Cet article est salué pour avoir souligné l’échec de Fizz à protéger les données de ses utilisateurs.