多年来,我一直在感叹自己花了多少时间试图向受影响的公司披露数据泄露事件。到目前为止,这是处理Have I Been Pwned (HIBP) 违规行为中最耗时的一项活动,坦率地说,这是我能想象到的最吃力不讨好的任务。查找联系方式很困难。得到回应很难。没有一个组织会自动假设您正试图从他们那里获得现金是很难的。太难了,事实上,我想我会端到端记录这个过程并公开分享,以帮助证明这个过程是多么痛苦。
很久以前,我在“太难”的篮子中提交了(所谓的)Avvo 违规行为,直到上周看到这条推文后,我脑海中才响起了一个遥远的钟声:
@troyhunt看起来@avvo违反了他们的用户列表——我在我的 Avvo 特定地址上收到了那些“你被黑了”的诈骗电子邮件。没有密码,所以我猜他们是散列的。
— pḧÿzömë (@phyzome) 2022 年 4 月 4 日
预感这不会是一个简单的过程,我开始录制并开始我通常的披露过程。它失败了——完全失败了——但至少现在我对我所做的一切、我联系过的人以及我什至接触过的人都有一个完整的了解,但仍然无济于事。这是整个事情:
现在可以在 HIBP 中搜索 Avvo 数据泄露事件。到我发出通知时,他们去了 20,183 个人监控他们的帐户,还有 9,637 个人监控电子邮件地址受到影响的域。如果将来出现,我会用任何进一步的相关信息更新这篇文章。
原文: https://www.troyhunt.com/breach-disclosure-blow-by-blow-heres-why-its-so-hard/