IPAに通報しました。
本件の問題は、 セキュリティホールを発見したことではなく、その後、その脆弱性を利用したことです。その時点でアウトですから、それをさらにOSSとして公開したことは、頂き女子りりちゃん事件(幇助)と変わりません。
例のサイゼイヤをIPAに通報した
Readers added context they thought people might want to know
この記事は正確性を欠いています。また、実際に脆弱性と言える場合、公開すべきではありません。
筆者の提示している情報公開に関するフローの根拠資料は、まさに今回のような脆弱性情報の漏洩を防ぐために発表されたものです。
正当な理由による第三者への開示とは、一般公開を意味しません。
meti.go.jp/policy/netsecu…
記事内で主訴としているCWE-306の典型例は銀行口座作成や管理操作や機密データの取扱などであり、スタッフ呼出しのような目視など運用でカバー可能な行為をcriticalと呼ぶのは無理があります。
cwe.mitre.org/data/definitio…