Qué hacer si ya transcurrió 2 años desde que descubrí bug en software?

M

Hace aproximadamente 2 años que he descubierto un BUG en un software. El BUG permite acceder a la información supuestamente cifrada con una contraseña introducida por el usuario. Si bien éste software no es tan conocido como un software de Microsoft o Adobe, he leído que hay usuarios que guardan investigaciones de su profesión, datos de su empresa o pyme, etc y me preocupa su confianza en la protección del software.
Ni bien le reporte el bug al desarrollador, el mismo desarrolló un parche para que en las actualizaciones posteriores, no se pueda acceder a la información de ésta forma, pero si se utiliza una versión anterior del software, la información supuestamente cifrada es fácilmente accesible.
Se me hace que es un error bastante groso porque el desarrollador tiene que desarrollar una nueva versión de software que genere una base de datos totalmente incompatible con versiones anteriores y que sea igual de confiable y funcional que la desarrollada actualmente. Han transcurrido 2 años y aún no se ha desarrollado ésta versión y me preocupa que alguien pueda descubrir y aprovechar éste bug con fines mal intencionado. Apenas lo había comunicado al desarrollador, me dijo que no dijera nada por la razón ya mencionada, mientras él desarrolla una actualización del software, no se está tardando demasiado? en situaciones así, no es mejor informar del error y que el usuario decida qué hacer?

Esperaré hasta fin de año para dar a conocer éste bug a los usuarios de dicho software? Qué harías ante una situación así?

josepginer

Depende. ¿Eres caótico bueno o legal malvado? (:

2
elfito

Publicarlo.

Una persona debe preocuparse por la seguridad. Supongo que la mayoría habrá actualizado a la versión que tiene el bug arreglado.

Es decir, caótico bueno xD

P.D: de que software se trata?

2 respuestas
Drgranudo

#3 Pinturillo

preguntitas

si hay parche por parte del desarrollador, cual es el problema? debes compartir.

1 respuesta
M

#3 #5 El problema es que la actualización realizada NO es la solución. Es sólo para que ningún otro usuario pueda reproducir el bug y logre acceder a la información protegida por contraseña del usuario. Si el usuario intenta con versiones anteriores, la base de datos supuestamente cifrada con la contraseña del usuario, se puede visualizar la información sin introducir la contraseña.

Es decir, la actualización se debe hacer a nivel del software y de la base de datos.

El software promete el cifrado de la información protegida por contraseña, pero si en la base de datos la información estuviese cifrada, no sería inaccesible?

1 respuesta
n3On

Pues meterle caña al desarrolador y demas... y si quieres, pues le petas las bases de datos y a triunfar como la cocacola!

Wasd

#6 Por ejemplo hay servicios de AWS como RDS (bases de datos) que te encriptan la info de forma invisible, ya que cuando pides los datos se desencriptan al vuelo. Supongo que si alguien consiguiese acceder de forma no lícita, se encontraría los datos cifrados...

https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html

Pokini

Yo sinceramente creo que ya has dado demasiado tiempo de espera...

Ahora me pondría a informar por redes sociales y por foros para que la gente no pueda sufrir robos de información importante. Creo que has actuado bien, pero ya es hora de no confiar más en ese software.

Por cierto, de cuál se trata?

elfito

Ahora simplemente por saber si estamos seguros o que software se debe evitar... di que programa es, sin entrar en detalles de versiones ni nada.

Usuarios habituales