Servus,

ich bin Student und suche zum Spaß Sicherheitslücken. Ich habe auf einer deutschsprachigen Webseite, die in einem vielgesuchten Thema eines der Top Google Resultate ist, eine XSS Lücke gefunden. Mit dieser kann ich beliebiges Javascript ausführen für jeden der mein Profil aufruft (inklusive selbigen Schadcode in das Profil des Nutzers integrieren). Zudem lassen sich alle persönlichen Daten dieser Nutzer (Adresse, Name, Arbeitgeber etc.) auslesen.

Mit dem Gedanken von Resposible Disclosure habe ich dem Betreiber unter der einzigen Kontaktadresse vor ~3 Wochen und noch einmal vor ein Paar Tagen eine Mail geschrieben, ohne jeglich Antwort. Laut Google arbeitet der als hauptverantwortlich gelistete garnichtmehr dort, trotzdem wird die Seite relativ aktiv genutzt.

Wie sollte ich nun also weiter vorgehen? Full Disclosure? Ich habe nicht das Gefühl, dass das Kontakt zu den Betreibern wahrscheinlicher machen würde, eher nur das jemand mit schlechteren Absichten als ich das Ganze anwendet. Zudem war ich in der Kontaktaufnahme mit dem Anbieter nicht anonym genug um die Lücke nun anonym veröffentlichen zu können.

Was nun also? Interessiert sowas den Datenschutzbeauftragten?