Ситуация: захожу на сайт какой-нибудь коммерческой организации ООО "Рога и копыта". Совершенно случайно
при наборе данных допускаю ошибку, которая вместо информации о деятельности всем известной фирмы "Рога и копыта" выводит на экран содержимое базы данных этого сайта, например, список пользователей. Т.е. сайт уязвим. Я, как честный гражданин, пишу на официальный адрес данной организации электронное письмо, в котором сообщаю:
1. что их сайт содержит уязвимость,
2. описываю последовательность действий (или набор данных) которые приводят к ошибке,
3. указываю, что информация о характере уязвимости, данные полученные в результате неправильной работы их сайта, не будут сохранены на любых носителях, переданы третьим лицам , или ещё как либо использованы.
4. указываю координаты фирмы, которая занимается поиском и исправлением уязвимостей
Важные, на мой взгляд моменты:
1. в письме не будет никаких угроз по использованию данной уязвимости
2. будут указано, что я не могу дать рекомендаций по устранению данной уязвимости, т.к. не имею доступа к исходным кодам сайта
3. уязвимость будет найдена только вводом неправильных данных, никаких действий по сканированию удаленного компьютера, подбора паролей не будет.
4. данные о уязвимости не будут использованы, или переданы третьим лицам.
5. данные, которые будут выданы на экран при использовании уязвимости (например, список пользователей сайта и их пароли) не будут сохранены и не будут использованы или переданы третьим лицам.
Вопросы:
1. Насколько законны данные действия?
2. Если они не законны, есть ли методы ухода от ответственности?