Frage:
Wie kann man Schwachstellen melden, ohne als Hacker angesehen zu werden?
user29170
2014-10-29 19:32:52 UTC
view on stackexchange narkive permalink

Ich habe gerade festgestellt, dass die Anmeldeseite meiner Alumni einfach nur HTTP ist. Wireshark hat bestätigt, dass die Anmeldeinformationen mithilfe einer HTTP-POST-Nachricht gesendet werden. Ich habe ein bisschen recherchiert und, wie ich dachte, sollte HTTPS immer auf der Anmeldeseite verwendet werden (siehe Ist es sicher, dass eine Site die Anmeldeseite mit HTTP bedient, aber die tatsächliche Site in HTTPS hat?).

Zunächst möchte ich meiner Universität einen Gefallen tun, aber wie kann ich sie dazu bringen, Maßnahmen zu ergreifen? Es ist sehr wahrscheinlich, dass meine persönlichen Daten wie Abschluss und Abschlussjahr in der Alumni-Datenbank gespeichert sind. Es ist nicht überraschend, dass einige Organisationen einen solchen Bericht nicht ernst nehmen (siehe Wie melde ich eine Sicherheitsanfälligkeit an eine große Organisation, die nicht glaubt, dass sie ein Problem hat?). Ich habe dem IT-Helpdesk der Universität eine E-Mail mit meinem Alumni-E-Mail-Konto gesendet, aber das Personal hat mich gebeten, meine Anfrage an eine allgemeine Alumni-Anfrage-E-Mail weiterzuleiten.

Wie kann ich dies zusätzlich zu den technischen Details sicherstellen? Keine Polizei wird mich wegen Hacking verhaften? Ich habe nicht versucht, persönliche Daten zu stehlen. Ich bin nicht daran interessiert, diese Sicherheitsanfälligkeit einem Sicherheitsforum zu melden, bevor die Universität Maßnahmen ergreift.

P.S. Es ist mir peinlich, dass mein CS-Abschluss von dieser Schule stammt.

Ich stimme @schroeder darin zu, dass Sie sich keine Sorgen um Gebühren machen müssen. Sie betrachten unverschlüsselten Datenverkehr in Ihrem eigenen Netzwerk. Plus das ist dein College. Selbst wenn sie Sie beschuldigen würden, A) würde dieser Fall mit einem kompetenten Anwalt abgewiesen werden. B) würde die Verwundbarkeit in dem Verfahren öffentlich werden, das das College nicht möchte. Es ist scheiße, dass es ihnen egal ist, aber man kann sie nicht zwingen, sich darum zu kümmern. : - /
Das ist nicht mal ein bisschen wie Hacken.
Haben Sie Kontakt zu einem Ihrer ehemaligen Professoren? Es ist sehr wahrscheinlich, dass sie sich darum kümmern (für professionellen Stolz, wenn nichts anderes), und sie wären besser in der Lage, die IT-Abteilung zu beeinflussen.
@AndrewHoffman Es gibt möglicherweise Gerichtsbarkeiten, die das Erfassen von Paketen aus einer Quelle verbieten, die Sie nicht besitzen (wie die Website der Uni). Sie können das Innenleben der Site sehen, mit dem Sie die Site dann hacken können. In Kanada, wo das OP herkommt, besteht diese Gefahr nicht, aber es wird nicht weltweit geschnitten und getrocknet.
Haben Sie auch die E-Mail mit der allgemeinen Alumni-Anfrage wie angewiesen benachrichtigt?
@MooingDuck Noch nicht. Wie kann ich die Nachricht für eine Nicht-Computer-Person formulieren, die besagt, dass ich nicht in die Server eingedrungen bin, sondern eine Sicherheitsanfälligkeit gemeldet habe?
@SáT Die IT-Abteilung und die CS-Abteilung der Universität sind so unzusammenhängend, dass jeder sein eigenes Ding macht .... (nicht dort ankommen) :(
Offtopic: Die CS-Abteilung der Schule bietet kein HTTPS an.
Nutzen Sie einfach die sozialen Medien, um wie auf der Facebook-Seite Ihrer Universität zu pfeifen. Wie viele bereits betont hatten, ist die Entdeckung der Nichtverwendung von HTTPS auf der öffentlichen Anmeldeseite einer Website nicht gleichbedeutend mit Hacking.
@QuestionOverflow Ich bin nicht daran interessiert, die Sicherheitslücke der Öffentlichkeit zu melden. Meine persönlichen Daten befinden sich höchstwahrscheinlich in der Datenbank.
@schroeder - aber dies erfordert nicht einmal das Erfassen der Pakete (was Sie übrigens tun müssen, um eine Seite zu sehen). Sie müssen nur http: // anstelle von https: // anzeigen, wenn Sie mit der Maus über die Linkübermittlung fahren oder die Quelle der Seite anzeigen. Dies kann direkt über den Browser erfolgen.
@AJHenderson Ich verstehe das vollkommen, aber das OP erwähnte, dass er Wireshark betrieben hat, und das scheint der Grund für seine Besorgnis zu sein, als "Hacker" wahrgenommen zu werden. Er kann natürlich einfach erwähnen, dass das Protokoll falsch ist, aber es zu "beweisen", indem er seine Anmeldeinformationen in einem Paket-Dump klar anzeigt, kann möglicherweise einige Leute beunruhigen.
@schroeder - fair genug, ich würde zustimmen, dass es wahrscheinlich am besten ist, die verständlichste und einfachste Erklärung möglich zu machen. Es ist weniger wahrscheinlich, dass Menschen ausflippen (zu Recht oder nicht), wenn Sie Werkzeuge verwenden, die sie verstehen, anstatt Dinge, die über ihren Kopf gehen.
Warum machst du dir Sorgen, als Hacker angesehen zu werden? Einige der angesehensten Leute auf dem Gebiet der Informatik (und ich vermute, fast alle angesehenen Leute im Bereich Sicherheit) sind stolz darauf, als Hacker bezeichnet zu werden. Du hast nichts Verbrecherisches getan.
Das Ausführen eines Paket-Sniffers zum Aufspüren Ihres eigenen Datenverkehrs ist kein Verbrechen, insbesondere wenn Sie dies tun, um den Verdacht zu überprüfen, dass Ihre Übertragung nicht verschlüsselt ist. Ich benutze Fiddler bei der Arbeit häufig, um meinen eigenen HTTP-Verkehr abzufangen und zu sehen, was zur Fehlerbehebung über die Leitung geht. Wenn das ein Verbrechen wäre, wären alle Entwickler im Gefängnis :)
@lacampane11a, so sehe ich es. Solange Sie sich während dieses Zeitraums nicht anmelden, bleiben Ihre persönlichen Daten in der Datenbank sicher. Solange Ihre Universität dieses Problem nicht dringend behebt, ist die Anmeldung aller Benutzer unsicher. Eine öffentliche Offenlegung ist der effektivste Weg, um sich in dieser Angelegenheit zu engagieren.
Sie werden von jemandem als "Hacker" bezeichnet, egal was passiert. Auf der positiven Seite ist es nicht Ihr Arbeitgeber. Auf der dunklen Seite ist die Reaktion der betreffenden Universität (und ihrer Anwälte) höchst unvorhersehbar. Dumme Leute machen dumme Sachen (sie, nicht du).
Wenn Universitäts-E-Mails und das geistige Eigentum von Personen nach China gelangen, * dann * kümmert sich die Universität plötzlich um die Sicherheit. Quelle: Erfahrung (hier wird keine bestimmte Universität genannt)
Zehn antworten:
#1
+61
AJ Henderson
2014-10-29 19:45:21 UTC
view on stackexchange narkive permalink

Wenn Sie lediglich melden, dass HTTP anstelle von HTTPS für die Anmeldung verwendet wird und dass dies unsicher ist, sollten Sie nicht des Hackens beschuldigt werden. Es ist etwas, das beim Betrachten der Website sofort öffentlich sichtbar ist.

Es gibt viele Möglichkeiten, Schwachstellen zu erkennen, die tatsächlich als Hacking angesehen werden können (z. B. Ausführen eines Schwachstellenscanners für ein Ziel, für das Sie nicht berechtigt sind, es auszuführen), aber mir sind keine bekannt Gerichtsbarkeiten, die in Betracht ziehen würden, auf die Seite zu schauen und einen Fehler zu erkennen, der sofort als Hacking sichtbar ist. Es wäre ein bisschen so, als würde man an einem Haus vorbeigehen, bemerken, dass jemand seine Tür offen ließ, als er ging, und beschuldigt werden, ein Dieb zu sein, als man ihn darauf hinwies, dass er die Tür offen ließ (während man nicht einmal darauf steht) ihr Eigentum.)

Aus irgendeinem Grund scheint dieser Beitrag viele Kommentare zu enthalten, die nicht "zum Zwecke der Klärung oder Anforderung von Aktualisierungen" dienen, sondern sich stattdessen auf Anekdoten und vage verwandte Nachrichtenartikel konzentrieren. Anstatt dies zu einem Streit eskalieren zu lassen, werde ich sie alle löschen. Fühlen Sie sich frei, das Thema in [Chat] zu diskutieren, da wir dort gerne diskutieren :-)
#2
+28
Gustek
2014-10-29 20:33:51 UTC
view on stackexchange narkive permalink

Wenn sie Ihre E-Mails ignorieren, können Sie versuchen, sie der Organisation zu melden, die für die Durchsetzung des Datenschutzgesetzes verantwortlich ist. Ich weiß nicht, woher Sie kommen. In Großbritannien wäre es http://ico.org.uk/concerns

. Sie sind dafür verantwortlich, Ihre Daten sicher zu verwahren.

Vielen Dank, dass Sie auf eine solche Organisation hingewiesen haben, aber ich bin in Kanada. Lassen Sie mich sehen, ob ich etwas Äquivalentes finden kann.
Für Kanada ist es der Datenschutzbeauftragte des Bundes, http://de.practicallaw.com/6-502-0556#a588373
Die Datenschutzbehörden der Provinz passen besser zusammen (die Datenschutzgesetze variieren je nach Provinz).
Ich glaube nicht, dass dies die Frage beantwortet, da nichts den Datenschutzbeauftragten daran hindert, den Fragesteller auch als Hacker zu beschuldigen. (Ich weiß jetzt wahrscheinlich, aber das war seine Frage)
Soweit ich weiß, werden Personen, die dem Datenschutzbeauftragten Bericht erstatten, ihre eigenen Ermittlungen durchführen, um Ihre Bedenken zu bestätigen, aber sie werden nicht untersuchen, wie Sie sie kennengelernt haben. Es wird berichtet, dass eine Partei Sie beschuldigt, sie gehackt zu haben.
#3
+13
schroeder
2014-10-29 19:40:11 UTC
view on stackexchange narkive permalink

Erstens können Sie niemanden dazu bringen, etwas zu tun. Als Alaun können Sie Ihre persönlichen Bedenken äußern, dass Ihre Anmeldeinformationen offengelegt werden, aber das war es auch schon.

Ich bin mir nicht sicher, wie jemand Ihre angegebenen Handlungen als Hacking betrachten würde, aber das hängt von Ihrer Gerichtsbarkeit ab. In meinem Fall ist das Erfassen eigener Pakete überhaupt nicht illegal.

Es ist bedauerlich, dass der IT-Support Sie in den allgemeinen E-Mail-Papierkorb gebracht hat, aber Sie müssen deren Verfahren befolgen.

Gibt es Orte, an denen das Erfassen eigener Pakete illegal ist? o_O Es klingt verrückt ...
Ich habe versucht, mein Gedächtnis zu überprüfen, aber vielleicht war die Diskussion vor langer Zeit relevanter. Die Rechtstheorie fiel unter den Bereich "Anzeigen des Codes", ohne dass der "Compiler" (der Browser) ihn rendern durfte, und wurde daher als "nicht autorisierter Zugriff" angesehen. Derzeit kann ich keine Beweise dafür finden, dass das Erfassen Ihrer eigenen Pakete auf einem Server über das Internet illegal ist.
Denken Sie daran, kriminelle Absicht, Unkenntnis des Gesetzes kann tatsächlich die fundierteste Rechtsverteidigung (nicht Rechtsberatung) US-Strafrecht sein
Das Erfassen eigener Pakete ist häufig eine der ersten Phasen des Reverse Engineering, und an vielen Stellen kann das Reverse Engineering negative rechtliche Auswirkungen haben.
#4
+8
Aaron Digulla
2014-10-30 18:47:33 UTC
view on stackexchange narkive permalink

Hier ist mein Ansatz:

Versuchen Sie herauszufinden, ob Ihre Universität eine Person hat, die für die Sicherheit verantwortlich ist. Vielleicht haben sie eine Firma, die das macht, oder sie haben eine Abteilung. Wenn ja, versuchen Sie, diese Personen zu kontaktieren. Sie wissen oft, wovon Sie sprechen.

Wenn Sie sie kontaktieren, müssen Sie ihnen nichts über Wireshark erzählen. Sagen Sie "Ich habe festgestellt, dass die Site HTTP verwendet, und da ich in der Computersicherheit arbeite, weiß ich, dass mein Name und mein Passwort ohne jeglichen Schutz über das Internet gesendet werden. Jede böswillige Person in einem Netzwerk zwischen Ihnen und mir könnte dies." Stehlen Sie meine Identität auf diese Weise. Ist Ihnen das bewusst? "

Das erste Ziel ist also:" Ich habe ein Risiko gefunden und weiß, wovon ich spreche. " Dann sehen Sie, wie sie reagieren. Dies ist keine lebensbedrohliche Situation. Es ist in Ordnung, wenn die Lösung einige Tage dauert. Sie können mehrere Mails verwenden, um Ihre Meinung zu äußern.

Wenn sie sich weigern, Ihnen zu glauben, geben Sie ihnen ein Rezept, wie sie sich selbst davon überzeugen können (installieren Sie Wireshark, verwenden Sie diese Regel, melden Sie sich an, schauen Sie zurück, was Wireshark zeigt es dir). Auf diese Weise führen sie das "schlechte" Tool aus. Sie müssen ihnen zu keinem Zeitpunkt mitteilen, was Sie auf Ihrem eigenen Computer getan haben. Wenn Sie darauf drücken, können Sie sagen: "Ich habe die Sicherheitstools meines Unternehmens verwendet, um die Daten zu erfassen, die mein Browser an Sie sendet, und ich habe gesehen, dass ..."

#5
+7
Corey Ogburn
2014-10-30 20:04:31 UTC
view on stackexchange narkive permalink

TL; DR - Professionell und bescheiden zu sein, wird einen langen Weg gehen. Verschwiegen, stolz oder bösartig zu sein, wird offensichtlich nicht so gut enden. Wenn Sie ruhig und privat mit ihnen arbeiten, tun sie wahrscheinlich dasselbe.

Das klingt fast so, als hätte ich Probleme mit der Sicherheit meiner Universität festgestellt. Meine Universität hat den Studentenausweis in ein Cookie eingefügt, und als diese Person wurden Sie angemeldet. Wenn Sie den Cookie manipuliert haben, haben Sie sich als derjenige angemeldet, den Sie wollten. Es war die Entdeckung, die mich dazu brachte, tiefer in ihre Sicherheit zu schauen. Sie hatten auch einen unsicheren Mailserver, der alles ohne Authentifizierung weiterleitete. Die Dateinamen der Bilder im Schulverzeichnis waren nur eine seltsame Kodierung des Personalausweises dieses Schülers. Irgendwann konnte ich eine SSN nachschlagen und den Namen eines Schülers abrufen.

Ich habe diese Fehler nach und nach gefunden. Es begann mit dem Gefühl "Meine Informationen müssen sicher sein und nicht" und ich würde die IT auf den neuesten Fehler hinweisen, den ich entdeckt habe. Nachdem ich ungefähr das dritte Mal etwas gemeldet hatte, fühlte ich mich sowohl wütend als auch der Abteilung überlegen. Alle zwei Wochen war ich im Büro des Vizepräsidenten für Technologien und wies auf einen neuen Weg hin, um SSNs oder Finanzunterlagen von Schülern bereits 1995 oder eine Stalker-Technik zu erhalten, um den gesamten Stundenplan einer Person (einschließlich ihrer Briefnote in dieser Klasse) zu bestimmen ). Der Vizepräsident wurde mir auch feindlich gesinnt. Ich gebe zu, dass ich nach 6 Monaten möglicherweise nicht die beste Einstellung hatte. Irgendwann wurde ich für ungefähr 3 Wochen ausgewiesen, als sie hörten, dass ich versuchte, ihre Codierung (oben verlinkt) zurückzuentwickeln. Ich wollte ihnen zeigen, welche Löcher anfällig sind, wenn eine Person nicht mit ihnen arbeitet und sie im Dunkeln sind. Schließlich haben wir es geklärt, aber in der Zwischenzeit gab es auf beiden Seiten viel Ärger, Papierkram und Ego.

Der Punkt, den ich versuche, ist, dass die IT-Abteilung mit mir zusammengearbeitet hat, obwohl ich ein Idiot bin. Sie haben die Probleme behoben und die Schule ist besser dran. Solange ich offen über meine Absichten war und offen darüber war, was ich tat, haben sie mich nicht bedroht oder behindert. Erst als ich im Geheimen arbeitete, ergriffen sie Disziplinarmaßnahmen. Ich war auf der ganzen Linie mit Dingen beschäftigt, die absolut als Hacking angesehen werden konnten, einschließlich Injection-Angriffen, Social Engineering, Reverse Engineering, Paket-Sniffing, Port-Scanning, benutzerdefinierten Software-Exploits und vielem mehr. Da ich nie etwas geändert habe und ihnen meine Ergebnisse immer (naja ... normalerweise) leise und direkt gemeldet habe, haben sie mit mir zusammengearbeitet. Ich habe keinen Zweifel daran, dass ich, wenn ich kein Arsch wäre, nicht vorübergehend ausgewiesen worden wäre.

#6
+6
Douglas Held
2014-10-31 13:15:46 UTC
view on stackexchange narkive permalink

Es gibt einen Service von Hewlett-Packard Tipping Point namens Zero Day Initiative. http://www.zerodayinitiative.com/

So funktioniert es.

  1. Sie KAUFEN die Sicherheitsanfälligkeit von Ihnen
  2. HP Tipping Point schützt seinen Kundenstamm von Smart-Firewall-Benutzern
  3. ZDI arbeitet mit dem Anbieter zusammen, um zu versuchen, das Problem zu beheben (dies kann normalerweise 6 Monate dauern).
  4. Wenn der Anbieter nicht reagiert oder sich nicht bewegt, meldet ZDI die Sicherheitsanfälligkeit öffentlich.
  5. ol>

    Wie Sie sehen, sind Sie mit Schritt 1 und Ihnen fertig Holen Sie sich Geld und bleiben Sie anonym.

Diese Seite ist jetzt in meinen Lesezeichen ...
#7
+1
SLEZ
2014-10-29 20:24:43 UTC
view on stackexchange narkive permalink

Manchmal ist es sehr schwierig, den Menschen die Bedeutung der Sicherheit zu erklären. Einige Leute verstehen Sicherheit einfach nicht und andere glauben, dass ihr System niemals kompromittiert wird. Das Melden einer Sicherheitsbedrohung wird manchmal ignoriert oder es dauert sehr lange, bis es behoben ist. Aus meiner Erfahrung heraus würde ich den Angriff demonstrieren, um Ihren Standpunkt zur Verbesserung der Sicherheit zu verdeutlichen. Wenn Sie einen Angriff demonstrieren, würde ich vorschlagen, dass Sie Ihre eigene Box verwenden, in der Sie eine ähnliche Umgebung einrichten können. Auf diese Weise können Sie den Menschen visuell zeigen, wie Daten gestohlen werden können.

Eine Demo würde für Personen in Ihrer eigenen Organisation funktionieren, aber für die Situation des OP ist dies möglicherweise nicht möglich.
@schroeder zustimmen. Außerdem können die Behörden meine Motive missverstehen und mich verhaften. Dieser Hacker mit Herzblutung hat Schwachstellen gefunden, aber andere haben sie nicht gut aufgenommen. http://motherboard.vice.com/en_ca/blog/the-mounties-are-wrong-about-canadas-heartbleed-hacker
#8
+1
tylerl
2014-11-01 09:38:35 UTC
view on stackexchange narkive permalink

Dies ist ein ziemlich schwieriges Thema, da Unternehmen und Universitäten eine lange und stolze Geschichte darin haben, in solchen Fällen mit Feindseligkeit zu reagieren und den Boten zu erschießen. Und es gibt keine Garantie dafür, dass Sie nicht strafrechtlich verfolgt werden, nur weil Sie ihre Unsicherheit bemerken. Sie haben vielleicht keinen Fall gegen Sie, aber das bedeutet nicht, dass sie Sie nicht unglücklich machen können.

Hier sind einige Ideen, die helfen könnten.

  • Anonym bleiben : Es gibt viele Möglichkeiten, Ihre Identität zu schützen. Ich werde hier nicht darauf eingehen, aber zum größten Teil müssen Sie sich nicht identifizieren, um eine Sicherheitsanfälligkeit aufzudecken. Wenn Sie sich wegen Vergeltungsmaßnahmen Sorgen machen, ist es möglicherweise am besten, dass Sie dies nicht tun.

  • Geben Sie nicht direkt bekannt: Obwohl dies ideal wäre Wenn Sie sich privat mit dem Problem befassen, bietet Ihnen dies wenig bis gar keinen Schutz, wenn sie sich für eine Vergeltung entscheiden. Das Offenlegen der Sicherheitsanfälligkeit durch einen vertrauenswürdigen Dritten schützt Sie in gewisser Weise vor direkten Aktionen, indem verhindert wird, dass diese die Story kontrollieren. Oft ist eine indirekte Offenlegung ein Weg, um die Anonymität zu wahren.

  • Konzentrieren Sie sich eher auf ihre Nachlässigkeit als auf ihre Verwundbarkeit : Wenn Sie präventiv moralische Höhen annehmen und angreifen, werden Sie sie als fahrlässiger und nicht als weniger bezeichnen. Es ist äußerst schwierig (und äußerst selten) für einen Dienst, der in erster Linie der Nachlässigkeit beschuldigt wurde, seinen Whistleblower als Kriminellen zu bezeichnen. Nur auf ihre schlechte Sicherheit hinzuweisen, bietet Ihnen keine moralische Überlegenheit und gibt ihnen die Möglichkeit, sich als Opfer zu malen, indem Sie Ihnen kriminelles Fehlverhalten vorwerfen. Gib ihnen das nicht raus.

#9
  0
Stephen P.
2014-11-02 22:26:50 UTC
view on stackexchange narkive permalink

Nach dem, was Sie gesagt haben, gibt es keine Hinweise darauf, dass Sie versuchen zu hacken. Sie haben einfach die eingehenden und ausgehenden Anforderungen Ihres eigenen Netzwerks überwacht.

Wenn Sie immer noch in der Situation sind, wenden Sie sich an den Datenschutzbeauftragten in Kanada, um zu erfahren, was er empfiehlt. https://www.priv.gc.ca/

#10
-2
Nicholas
2014-10-30 01:50:17 UTC
view on stackexchange narkive permalink

Dies scheint eher eine psychologische / soziologische Frage als eine Sicherheitsfrage zu sein, da es anscheinend darum geht, wie man am besten mit einer anderen Partei kommuniziert und sie davon überzeugt, eine bestimmte Maßnahme zu ergreifen. Ich kann nicht glauben, dass eine "Hacking" -Anklage aus den Gründen, die andere Antworten erklärt haben, echte rechtliche Konsequenzen haben könnte.

Ein alternativer Ansatz zu den oben genannten besteht darin, eine schwere Straftat zu begehen. Wenn sie sich weigern, Ihre E-Mails zu bestätigen, senden Sie eine halbbedrohliche in einem höflichen, aber festen Ton und erklären Sie, dass Sie möglicherweise rechtliche Schritte einleiten müssen, wenn sie diese Sicherheitslücke zum Schutz Ihrer persönlichen Daten nicht beheben um sich zu schützen. Dies kann praktisch sein oder auch nicht, je nachdem, welche persönlichen Informationen sie tatsächlich von Ihnen speichern.

Dieser Ansatz führt natürlich zu einer konfrontativen Interaktion. Überlegen Sie daher sorgfältig, bevor Sie diesen Weg beschreiten.

Als Info Sec-Profis beschäftigen wir uns viel mit dieser Situation, und es ist eine gültige Info Sec-Frage für sich: Die technischen Details einer Sicherheitsanfälligkeit zu kennen, ist nur die halbe Miete, sie den Verantwortlichen für ihre Behebung mitzuteilen und zu arbeiten mit ihnen ist die andere Hälfte. Dies kann nicht abgezinst werden. Die Androhung rechtlicher Schritte wird nicht viel Anklang finden.
@schroeder Können Sie diese Behauptung nachweisen? Ich bin überrascht über die Abstimmungen. Das OP listete bessere Optionen auf, aber sie wurden ausprobiert und sind fehlgeschlagen. Ich schlage keine rechtliche Bedrohung als erstes vor, aber angesichts des Fehlens anderer praktikabler Optionen, die noch nicht ausprobiert wurden und fehlgeschlagen sind, bietet dies eine weitere Möglichkeit, Änderungen vorzunehmen. Organisationen und Unternehmen handeln egoistisch und ändern sich oft nur, wenn sie eine Bedrohung für sich selbst sehen. Dies bietet die erforderlichen Informationen, um eine Änderung einzuleiten.
Ich möchte auch hinzufügen, dass die akzeptierte Antwort auf die erste verknüpfte Frage im Wesentlichen der gleiche Rat ist. Schädigen Sie das Unternehmen, indem Sie Gewinne abbauen, schlechte Werbung machen oder Mitarbeiter dem CEO melden. Das scheint nicht viel anders zu sein als (in der Tat scheint es weniger schwerwiegend als) die Abschaffung des Gewinns durch die Nutzung des Justizsystems zu bedrohen.
Ich habe 2 Behauptungen aufgestellt, von denen Sie Beweise haben möchten?
Wenn die Behauptung "rechtliche Schritte / Traktion" lautet: Das OP stammt aus Kanada, und ich kann Ihnen aus persönlicher Erfahrung versichern, dass rechtliche Schritte nur dann ernst genommen würden, wenn es einen tatsächlichen Verlust gäbe (d. H. Einen tatsächlichen Kompromiss). Die allgemeine Öffentlichkeit, die Klagen droht, bei denen es keinen Verlust gibt, wird als Lärm angesehen.
@schroeder ja, entweder Haftung für einen Verlust oder eine Straftat von "böser Absicht".


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...