Ha jól tudom egy "műkedvelő" 18 éves középiskolás srácról van szó. 18 éves koromban én nem voltam tisztában a "responsible disclosure" szabályaival, pedig már évek óta kockultam. Ehhez képest szerintem nem csinálta rosszul. Szólt a cégnek, és szólt a sajtónak, mert úgy látta, hogy ez egy kritikus hiba (az volt). És igen, 18 évesen a 15 perc hírnév is közrejátszik, ne legyünk már álszentek. De kitolhatta volna rögtön Facebookra/Twitterre is, nem tette.
Az, hogy a level 1 supportja a BKK-nak olyan, hogy a biztonsági fenyegetések nem kerülnek azonnal az biztonsági ügyeletes kezébe, aki nem azonnal kontaktálja a bejelentőt, nem a srác hibája. Nyilván nem megoldással kell ilyenkor jelentkezni, hanem:
- megköszönni a bejelentést
- megtudni további részleteket
- megköszönni még egyszer
- megtudni kinek szólt eddig
- biztosítani arról, hogy nem fogják feljelenteni, és szeretnének vele együttműködni
- ha még nem szólt senkinek, akkor egy határidőt megbeszélni, amig megkéred, hogy ne szóljon senkinek, és addig mindenképpen jelentkezni nála.
A péntek délután nincs biztonsági ügyelet részre inkább nem reagálnék. Hekker Marci nyilván csak H-P: 8-16 között fog támadni, de péntek 12-től már inkább nem, mert tudja, hogy jön a hétvége, és már mindenki menne haza... :)
Az, hogy az Index nem fact-csekkol, és nem beszél a BKK Sajtóügyelettel (vagy ha beszélt, akkor a Sajtóügyeletnek nem volt annyi esze, hogy "várj, 5 perc és visszahívlak" -> biztonsági ügyeletes -> "lécci még ne hozzátok le, kaptok érte exkluzív Tarlós kitűzőt"), megint nem a srác hibája.