Segnalare problemi di sicurezza è legale?

[bio_n3t]

Ciao a tutti voi del forum, come da titolo: se scoprissi un problema di sicurezza e segnalassi al titolare del sito che si POTREBBERO acquisire dati riservati, è penalmente perseguibile?
Intendo solo la segnalazione senza aver né recato danni al database o files, né salvato o divulgato i dati riservati.

Io credo che non sia illegale perchè ho pensato ad un esempio stupido:
Cammino per strada e noto che il mio vicino ha lasciato la porta di casa spalancata ed io preoccupato gli riferisco che potrebbero entrargli i ladri in casa.

Spero di non essere smentito, grazie!

PS: In caso potrei propormi di risolvere il problema anche a pagamento?

[amvinfe]

Ciao,
da quanto affermi, chiunque sarebbe portato a pensare che hai potuto comunque accedere ai dati riservati presenti nel db. Una cosa è rendersi conto di un bug, un'altra è scoprire un bug e andare oltre tale scoperta.

Se la buona fede delle persone ha, oggi, ancora una valenza rilevante allora non dovresti correre rischi.
Il problema potrebbe porsi però leggendo l'ultima frase che hai scritto, credo che abbia poco a che fare con una corretta etica, semmai sarà l'amministratore, proprietario del sito, dopo la tua segnalazione, a proporti di correggere il bug dietro congruo compenso.

[bio_n3t]

Intanto ti ringrazio per la risposta esaustiva, però se uno trova un bug di sicurezza non è già scontato che è riuscito a leggere informazioni che non doveva?
La differenza sta come dici tu nella buona fede, quindi una volta scoperto il baco, si dovrebbe solo segnalare il problema senza ovviamente tenere traccia delle informazioni trovate e così facendo non si dovrebbero correre rischi giusto?
Grazie ancora

PS: per la proposta economica hai ragione assolutamente, non ho pensato che potrebbe essere vista come una mossa da furbetto e quindi poco apprezzata...

[amvinfe]

il problema non è "aver conservato o meno traccia dei dati sensibili", il problema è quello d'aver lasciato traccia degli accessi effettuati

[amvinfe]

ti ho inviato un pm

grazie

[Habanero]

Per esperienza ti dico che in genere la segnalazione è presa in grande considerazione ed è frutto di gratitudine (espressa a parole ovviamente.. :-D).
In genere chi è interessato a carpire informazioni riservate con secondi fini ben si guarda dal segnalare il problema.
Ovviamente sta nell'etica di chi scopre il bug fermarsi prima di raggiungere l'informazione vera e propria.

Ti dico anche che capita che dopo aver segnalato il bug, il problema rimanga irrisolto per mesi... anche anni... purtroppo c'è chi corre ai ripari solo dopo aver dubito un danno vero e proprio.

Per quanto riguarda la richiesta di denaro... eviterei. Agli occhi del proprietario del sito la tua posizione potrebbe completamente cambiare. Prendila come una opportunità per imparare e nient'altro.

[bio_n3t]

Habanero ti ringrazio per la risposta, si penso anche io che sia un'opportunità per imparare e non posso propormi io nel risolvere il problema a pagamento, a meno che non mi venga espressamente richiesto (e sarebbe ancora meglio ), comunque sia io penso che se ci sono grandi aziende come Google che pagano fior di quattrini a chi scova bug, evidentemente non deve essere una pratica tanto scorretta eticamente.

[Habanero]

Fortunatamente c'è chi comincia a capire che la comunità hacker, o i bug hunter in genere, possano essere una grande risorsa a cui attingere... e come tale vada ricompensata.

L'incentivare tale tipo di attività tramite ricompensa può anche aiutare ad evitare che exploit pericolosi finiscano nel mercato nero degli zero day...