Dit is een lastig dilemma, vooral als je helemaal niet op zoek was naar een lek. Het komt vermoedelijk vaak voor dat iemand product X van leverancier Y gebruikt, en daar een lek in ontdekt, en zich daar niet goed raad mee weet (ik weet niet of dit op jou van toepassing is, een gokje dus).
Als je het lek "full disclosure" publiceert, en Y vervolgens een jaar achterover leunt, heb je
zelf een probleem met jouw product X en is je baas niet blij. Bovendien is Y niet blij en kan een advocaat op je afsturen.
Als je alleen maar roept "ik heb een lek gevonden in product X van Y" wordt Y ook boos (laster -> advocaat, mogelijk neemt die contact op met jouw werkgever en dat kan ernstige gevolgen hebben voor jouw loopbaan); de community schreeuwt "give us a poc or STFU" en Y repareert het lek in X niet. Uiteindelijk schiet je hier zelf niets mee op, integendeel!
Ook "de wereld" schiet er nauwelijks wat mee op: het
zou kunnen dat Y naast troep slechts mooie praatjes verkoopt (die zijn er zat in deze business) maar aan de andere kant zou jij ook ingehuurd kunnen zijn door een concurrent om Y zwart te maken - je levert immers geen bewijs. Bovendien heb je kans dat criminelen je gaan benaderen (wellicht niet al te zachtzinnig, bijv. zich voordoend als justitiemedewerkers) om je jouw "geheim" te ontfutselen. Afhankelijk van wat je wel publiceert kunnen derden denken dat jij een serieus wapen in handen hebt!
Het beste wat je, denk ik, kunt doen is eerst proberen het lek netjes bij Y te melden, zonder daar iets voor terug te willen hebben (je kunt wel vragen om een antwoord binnen een bepaalde termijn, maar dreig niet; heb je pech dan antwoordt een advocaat en zit de zaak definitief op slot). Doet Y er vervolgens niets aan, ga dan naar je baas en leg de situatie uit. Vraag dat product X wordt vervangen door een product van een andere leverancier. Daarna kun je overwegen om het lek bij bijv. ZDI te melden. Of Full Disclosure gaan, maar zorg dan dat je zelf je anonimiteit waarborgt.
Vaak is het -helaas- de veiligste oplossing om je verlies te nemen en de zaak te laten rusten. Doe dat zeker als je niet in een "rotsvaste situatie" verkeert (denk aan je loopbaan, gezin etc).
Anderzijds, als je een "lekkenjager" bent die zelfstandig opereert (niet gedekt door een kudde kundige advocaten), blijf dan uit de buurt van bedrijven die geen duidelijk "responsible disclosure" beleid hebben.
Recente "beloningstarieven" dekken wellicht wel je kosten, maar zelden de juridische risico's die je loopt (en,
als je beloond wordt, gebeurt dit altijd achteraf). Je moet je goed realiseren dat veel bedrijven er
bewust voor kiezen om weinig tijd aan het beveiligen van hun producten te besteden. Voor dat soort bedrijven ben
jij de grootste bedreiging, niet de lekken in hun product. En
als ze al iets met jouw informatie doen: vaak heb jij het topje van een ijsberg ontdekt, en zal het bedrijf andere dan het door jou gevonden lek voorrang geven. Daar vertellen ze jou natuurlijk niets over, jouw indruk is dan alleen maar dat ze jou laten bungelen (dat
zou kunnen, maar het kan ook zijn dat ze
echt met belangrijker zaken bezig zijn).
Sowieso begint het er vaak al mee dat het ernorm lastig blijkt te zijn om iemand in bedrijf Y te vinden die begrijpt wat het lek inhoudt dat jij hebt gevonden (of
denkt te hebben gevonden, die fout maak ik ook regelmatig - terughoudendheid is vaak op zijn plaats). Daarna moet Y het zien te reproduceren, ook dat lukt lang niet altijd. Reken maar op heel wat frustraties!
Misschien kan
https://www.ncsc.nl/actueel/nieuwsberichten/leidraad-responsible-disclosure.html je verder helpen.
Terzijde, het zou goed zijn als bij ICT aanbestedingen ook naar dit aspect gekeken zou worden: hoe gaat een bedrijf om met gemelde lekken? Hoe snel worden die vervolgens verholpen?