ICEBlock handled my vulnerability report in the worst possible way

Кратко:
Разработчик ICEBlock (приложение для анонимных доносов на ICE) проигнорировал мой отчёт об уязвимости. 1 сентября я сообщил, что его сервер на Apache 2.4.57 содержит критические CVE, и попросил обновиться до публикации критического поста. В ответ — блокировка и обвинения во лжи. Через два дня уязвимость всё ещё не закрыта; исправление занимает одну команду apt upgrade.

Комментарии (69)

Автор сообщил разработчику ICEBlock о «уязвимости» (устаревший Apache), но дал всего 90 минут до публикации критичной статьи — это не responsible disclosure.
Большинство участников считают «уязвимость» фейком: версия могла быть за-патчена дистрибутивом, PoC отсутствует, эксплуатация не доказана.
Пост воспринимается как «activism theater»: автор смешал политическую критику приложения и технический аудит, что выглядит как хит-пьеса.
Разработчик заблокировал автора после первого демонстративного поста; сообщество считает реакцию понятной.
Вывод: ни сторона автора, ни сторона ICEBlock не выглядят профессионально — шум вокруг пустяковой «уязвимости» никому не помог.