Hola, tengo una pregunta
Si encuentro una vulnerabilidad que me permite acceder a una base de datos (de una institución publica), cual sería la mejor manera de proceder para reportarlo sin correr riesgo de tener implicaciones legales?
En este caso la base de datos tiene información personal como correo electrónico, identificación dentro de la institución, documentos,etc…
basicamente, haga su mejor esfuerzo para contactar a las personas responsables de esa institución. Espere un tiempo razonable para que le respondan. Si no le responden, haga público el asunto para que todas las personas usuarias que tienen su información comprometida se enteren.
Si le responden y lo arreglan en un tiempo razonable, cuando esté resuelto publique toda la historia en su blog, para que se lleve el crédito de encontrar, reportar y asistir en la solución del error, y que otras personas aprendan para que no pase lo mismo de nuevo.
Si usted no explota la vulnerabilidad para su beneficio propio, no debería tener problemas legales, pero mejor que @ignacio confirme esto.
guardalo sus logs, screenshots y hace una lista de sus tiempo accesando el sistema. esto es muy importante xq vos no sabes si hay otro gente que estan acesando el sistema y si ellos no puedo encontrar esto en los logs… tu interacción con ellos va ser una fuente para decir que ud ha tocado y lo hace cambio… mejor lo cubren punto vista desde afuera