In einer digitalen Welt ist die IT-Sicherheit zentral. Trotzdem droht Strafe, wenn Hacker solche Lücken ehrenamtlich finden und meldet.
In einer digitalen Welt ist die IT-Sicherheit zentral. Trotzdem droht Strafe, wenn Hacker solche Lücken ehrenamtlich finden und meldet.
Wenn du da das Wort „anonym“ streichst, ist es die klassische responsible disclosure - Hersteller informieren und veröffentlichung erst nach Absprache / Ablauf einer Deadline. Nur halt deiner Version anonym. Da ich bei einer Info an den Hersteller ja mit einer Anzeige (notfalls gegen unbekannt) rechnen muss, die ich evtl. Bei Full disclosure genauso bekomme, wäre die Frage, warum ich dann den Aufwand treiben sollte (und alleine herauszufinden, an wen/wie man Lücken an $Unternehmen meldet kam ganz schön Arbeit sein). Die Info an den Hersteller sollte ja eigentlich genau den Part übernehmen mit dem ich sagen kann „hey, ich mache nichts kriminelles, ich will nur helfen“.
Die Problematik der Anzeige gegen unbekannt ist ja bei “Anonyme Public Full Disclosure” auch gegeben. Einzig hinzu käme offenbar, dass man bei einer vorherigen anonymen Ankündigung trotz Vorsichtsmaßnahmen zusätzliche Anhaltspunkte zur Ermittlung der eigenen Identität liefern könnte.
Als Grund für den zusätzlichen Aufwand der vorherigen anonymen Mitteilung an die Organisation käme u.a. Sorge um die Kunden/Bürger oder um Dritte infrage (zumal wenn man selbst dazu zählt). Ob es das wert oder nicht (und ob man die pflichtvergessene Organisation nicht sogar auflaufen lassen sollte), muss natürlich jeder selbst und anhand des konkreten Falls entscheiden.