クラスメートが重罪容疑で脅してきたとき

 (miles.land)
2 ポイント 投稿者 GN⁺ 2023-08-29 | 1件のコメント | WhatsAppで共有
  • 筆者は、学友たちと善意でセキュリティ研究をしていたところ、法的な脅しを受けた経験を共有する
  • 筆者とセキュリティに関心のある友人たちは、Fizz という匿名ソーシャルメディアアプリで脆弱性を発見した
  • 彼らは Fizz に脆弱性を責任ある形で報告したが、問題を修正する代わりに、Fizz は脅しを送り沈黙を求めた
  • 筆者は Electronic Frontier Foundation (EFF) に法的支援を求め、Fizz の脅しに対する返答の草案を作成した
  • 状況は友好的に解決し、Fizz は最終的にユーザーへ問題を公開した
  • 筆者はこの経験を振り返り、研究を合法的に進めて十分に文書化すること、法的脅威に直面しても冷静さを保ち弁護士の支援を受けることなど、3つの重要な教訓を共有する
  • 筆者は結論として、脆弱性公開プロセスの別の側面で経験を共有する他の登壇者へ話を引き継ぐ

関連記事

1件のコメント

 
GN⁺ 2023-08-29
Hacker Newsの意見
  • EFFのスタッフ弁護士は、CFAA違反の主張について誇張した発言をした可能性がある。
  • 研究者たちは、許可なく管理者アカウントを作成したことで法に違反した可能性がある。
  • 研究者たちは、善意の意図と重大な被害の不在により、法的な結果に直面する可能性は低い。
  • Fizzの弁護士たちは、刑事訴追をちらつかせることで、慎重であるべき規範に反する過ちを犯した。
  • この記事は、セキュリティ研究者に対する好意的な変化を反映しており、現在の情報公開の扱い方に前向きな変化を示している。
  • Stanford Dailyの記事は、Fizzのプライバシー侵害とセキュリティ対策の欠如の程度を明らかにしている。
  • FizzのAshton CoferとTeddy Solomonは、この状況に対して弱い対応を取り、追加コメントの提示を拒否した。
  • 法的脅迫の結果と説明責任の必要性についての議論が続いている。
  • セキュリティ情報公開において実施日を指定することの価値に疑問が呈されている。
  • セキュリティ研究者が脆弱性を個人ブランディングのために利用する傾向に対する批判がある。
  • 法的嫌がらせと、より積極的なメカニズムの必要性という課題が言及された。
  • この記事は、Fizzのユーザーデータ保護の失敗を指摘した点で評価されている。