DOMANDA Che fare, dopo aver scoperto online un problema di sicurezza/privacy?

[Utente 125751]

Ciao a tutti :)

Che fare, dopo aver scoperto un grave problema di sicurezza/privacy?

Riguarda un sito (forse è pure un social) americano, che ha all' interno un forum ed un e-shop (Solo spedizioni in U.S.A e foorse in Canada). Per registrarsi a questo sito è obbligatorio inserire un indirizzo email. Non è richiesta nessuna "sigla identificativa".

Tra i membri con "sigla identificativa" che ho visto, sono più quelli che nel proprio profilo hanno inserito anche il proprio indirizzo postale (serve per la spedizione fisica tra gli iscritti al sito). Tra di essi che c'è pure chi ha messo nel profilo una mappa virtuale (non è google maps) associata al proprio indirizzo postale. Tra di essi ci sono pure content creator su youtube, un membro (ex membro) delle forze dell' ordine (o simile).

C'è in aggiunta l' opzione, per chi lo vuole, della spedizione in formato elettronico utilizzando lo stesso indirizzo email usato per la registrazione. Per poter sapere l' indirizzo email bisogna andare nel profilo della persona avente sigla identificativa. Però a differenza dell' indirizzo postale/casella postale, Solo chi ha la sigla identificativa può vedere l' indirizzo email.

Potrei ignorare la cosa, mantenere il segreto ed andare avanti come se niente fosse. Però se volessi fare una buona azione, senza secondi fini, come potrei agire legalmente?

Vi ringrazio.

 

[Kelion]

Hanno un canale per la segnalazione di problemi o bug?

 

[Air_]

Ciao a tutti :)

Che fare, dopo aver scoperto un grave problema di sicurezza/privacy?

Riguarda un sito (forse è pure un social) americano, che ha all' interno un forum ed un e-shop (Solo spedizioni in U.S.A e foorse in Canada). Per registrarsi a questo sito è obbligatorio inserire un indirizzo email. Non è richiesta nessuna "sigla identificativa".

Tra i membri con "sigla identificativa" che ho visto, sono più quelli che nel proprio profilo hanno inserito anche il proprio indirizzo postale (serve per la spedizione fisica tra gli iscritti al sito). Tra di essi che c'è pure chi ha messo nel profilo una mappa virtuale (non è google maps) associata al proprio indirizzo postale. Tra di essi ci sono pure content creator su youtube, un membro (ex membro) delle forze dell' ordine (o simile).

C'è in aggiunta l' opzione, per chi lo vuole, della spedizione in formato elettronico utilizzando lo stesso indirizzo email usato per la registrazione. Per poter sapere l' indirizzo email bisogna andare nel profilo della persona avente sigla identificativa. Però a differenza dell' indirizzo postale/casella postale, Solo chi ha la sigla identificativa può vedere l' indirizzo email.

Potrei ignorare la cosa, mantenere il segreto ed andare avanti come se niente fosse. Però se volessi fare una buona azione, senza secondi fini, come potrei agire legalmente?

Vi ringrazio.

Solitamente si dovrebbe contattare direttamente chi sta a monte e fargli notare la cosa. In modo tale da risolvere il problema/falla

 

[Utente 125751]

@Kelion @Air_

Sul sito ho visto che c'è: un "User Support Center" ed un "Online Help forum".

 

[Kelion]

@Kelion @Air_

Sul sito ho visto che c'è: un "User Support Center" ed un "Online Help forum".

Sicuramente non utilizzerei un forum che è pubblico per segnalare questo tipo di falle. Qualcosa di più personale c'è?

 

[Air_]

@Kelion @Air_

Sul sito ho visto che c'è: un "User Support Center" ed un "Online Help forum".

Prova a vedere se c’è una mail diretta altrimenti direi user support center che magari è privato perché pensano che sia riferito ad una persona singola che ha qualche problema.

 

[Utente 125751]

Sicuramente non utilizzerei un forum che è pubblico per segnalare questo tipo di falle. Qualcosa di più personale c'è?

@Air_

"User Support Center" non riguarda il forum. Cliccandoci e dopo aver fatto di nuovo il login, mostra delle opzioni tra cui:

• Report a Silent Key
• Contact *** support...

Ho sostituito il nome del sito con gli asterischi mentre i 3 puntini di sospensione li hanno scritti loro.
Cliccando sul primo devo inserire la sigla identificativa della persona. Se non ho capito male dovrebbe servire per segnale uno specifico membro del sito.

Poi ho scoperto che:

1) per recuperare la password bisogna inserire la proprio sigla identificativa. Io però non c'è l' ho. Inserendo il mio username, che avevo inserito in fase di registrazione, la procedura va avanti e alla fine sono riuscito a recuperare la password del mio account.

2) se clicco su account (riferito al mio account) mi dice un po' in basso:
You are not registered as a *** Member
In order to be a *** Member, your user name must match a listed ******** in our database.

*** indica la categoria di quelli che hanno a listed "codice identificativo".
******** sarebbe il "codice identificativo"

 

[Air_]

@Air_

"User Support Center" non riguarda il forum. Cliccandoci e dopo aver fatto di nuovo il login, mostra delle opzioni tra cui:

• Report a Silent Key
• Contact *** support...

Ho sostituito il nome del sito con gli asterischi mentre i 3 puntini di sospensione li hanno scritti loro.
Cliccando sul primo devo inserire la sigla identificativa della persona. Se non ho capito male dovrebbe servire per segnale uno specifico membro del sito.

Poi ho scoperto che:

1) per recuperare la password bisogna inserire la proprio sigla identificativa. Io però non c'è l' ho. Inserendo il mio username, che avevo inserito in fase di registrazione, la procedura va avanti e alla fine sono riuscito a recuperare la password del mio account.

2) se clicco su account (riferito al mio account) mi dice un po' in basso:
You are not registered as a *** Member
In order to be a *** Member, your user name must match a listed ******** in our database.

*** indica la categoria di quelli che hanno a listed "codice identificativo".
******** sarebbe il "codice identificativo"

Mi pare come se avesse qualche problema si database.
Ma nella mail dì registrazione ti hanno inviato il codice identificativo? Oppure non ti hanno inviato nulla?

 

[Utente 125751]

Mi pare come se avesse qualche problema si database.

Se poi vado sulla mia pagina (cioè il profilo) mi appare scritto in rosso che non esiste. Non mi offre la possibilità di crearla.

Ma nella mail dì registrazione ti hanno inviato il codice identificativo? Oppure non ti hanno inviato nulla?

Per avere questo "codice identificativo" bisogna essere in possesso di un determinato documento, che viene rilasciato dalla pubblica amministrazione dopo aver superato un esame, per compilare un determinato modulo. Quest' ultimo poi va spedito alla pubblica amministrazione e poi bisogna che questo "codice identificativo" arrivi.

Io non ho fatto questo iter perchè al momento non mi interessa. Quindi è del tutto normale che nel mio caso ci sia scritto: "
You are not registered as a *** Member
In order to be a *** Member, your user name must match a listed ******** in our database.
"
La cosa mi va bene così.

La questione riguarda invece questa storia degli indirizzi postali altrui. Va bene se clicco su: "Contact *** support..."? Altro non c'è.

Non so se poi è consigliato fare in modo di alzare un polverone in modo tale che in Italia si inizia a parlare di questa cosa etc... Se si anche come.

 

[Air_]

Se poi vado sulla mia pagina (cioè il profilo) mi appare scritto in rosso che non esiste. Non mi offre la possibilità di crearla.






Per avere questo "codice identificativo" bisogna essere in possesso di un determinato documento, che viene rilasciato dalla pubblica amministrazione dopo aver superato un esame, per compilare un determinato modulo. Quest' ultimo poi va spedito alla pubblica amministrazione e poi bisogna che questo "codice identificativo" arrivi.

Io non ho fatto questo iter perchè al momento non mi interessa. Quindi è del tutto normale che nel mio caso ci sia scritto: "
You are not registered as a *** Member
In order to be a *** Member, your user name must match a listed ******** in our database.
"
La cosa mi va bene così.

La questione riguarda invece questa storia degli indirizzi postali altrui. Va bene se clicco su: "Contact *** support..."? Altro non c'è.

Non so se poi è consigliato fare in modo di alzare un polverone in modo tale che in Italia si inizia a parlare di questa cosa etc... Se si anche come.

Allora procedi con contact support. Più che altro non hai come fare. Inoltre la cosa strana è che questa falla sia stata rilevata secondo me da più persone e che probabilmente non l’hanno segnalata. Mi sembra molto strano