Penso che questo sia probabilmente oggetto di divulgazione responsabile. Ci sono alcuni passaggi da compiere che sono già stati menzionati isolatamente, ma probabilmente dovrebbero essere presi come parte di un approccio olistico al problema.
La prima cosa da fare è segnalare il problema al team di supporto.
Descrivi in dettaglio i passaggi da eseguire per replicare il problema (ad esempio, recuperare la password, ricevere la password in testo normale) e includere informazioni su ciò che questo rivela su come stanno gestendo le password e perché questa è una cattiva idea.
Includerei anche alcune notizie su problemi di cottura a fuoco lento in passato per fornire un contesto, ad esempio questo su PlusNet.
Spiegherei loro che se non hanno risolto il problema con x giorni (90 giorni mi sembra ragionevole) intendi agire.
Spiega loro qual è questa azione. Ad esempio, se ritieni che stiano elaborando carte di credito, quindi intendi segnalare una violazione PCI. Spiega chiaramente che se il problema non viene risolto, intendi divulgare pubblicamente il problema. (Post di blog, social media, segnalazioni sui media specializzati, siti di "vergogna", ecc.)
Un paio di cose da ricordare è che anche se sono colpevoli ci vorrà del tempo per implementare il cambiamento , (sebbene dubbiosi) potrebbero non essere consapevoli del problema a causa della mancanza di investimenti e / o competenze nel team IT, quindi agire in buona fede e concedere loro un ragionevole lasso di tempo per apportare la modifica.
La seconda cosa che dovresti fare è seguire quanto sopra.
Il problema qui ovviamente è che questa stessa domanda è passata direttamente alla divulgazione pubblica.
Detto questo, includerei un collegamento a questa domanda, poiché vedere un gruppo di professionisti della sicurezza che discutono della questione senza dubbio acuirà la mente dell'amministratore di sistema (e se non lo fa allora Western Digital dovrebbe cercare un nuovo amministratore di sistema)