Як вчинити з знайденої вразливістю і що робити, якщо немає Bug Bounty програми?

Якщо у вас є інформація про уразливості і ви думаєте скільки вдячності за неї ви зможете отримати, то ні в якому разі не беріть приклад зі випадків з такими компаніями, як Київстар, МТС, ПриватБанк, та й багато хто інші. Адже найгірше, на що можна оцінити вартість уразливості, це оплата послугами компанії.



Після моєї недавньої статті: "Чому в Україні немає білих хакерів або історія злому Київстар", яка потрапила в розсилку «найцікавіше на Geektimes», я уважно ознайомився з коментарями і поспілкувавшись з деякими моїми читачами, я зрозумів, що натиснув на хворий мозоль.

Уразливість однозначно коштує грошей, в гіршому випадку тих, які може втратити компанія.
В 2015 році втрати від витоку даних у середньостатистичної компанії оцінюються приблизно в 3,8 мільйона доларів згідно зі звітом Ponemon. & IBM.
Мінімальну оцінку вразливості ви можете подивитися в публічних Bug Bounty програмах. Це ті рамки «від і до», у яких варто мислити.

Важливо зрозуміти, що оцінка уразливості без належного аналізу — це суто суб'єктивний процес, адже кожен скаже свою цифру зі стелі. Це чимось схоже на оцінку предметів мистецтва. Кожен предмет (вразливість):
  • абсолютно унікальний і неповторний
  • не можливо підробити
  • є в однині
  • для кого-то не варто й гроша, а хтось готовий заплатити мільйони.
Для тих хакерів, які далекі від розуміння цього і придумали Bug Bounty програми, де оголосили фіксований прейскурант на описані типи вразливостей і поставили це на потік

Задумайтеся, Малевич адже не знав скільки буде коштувати його квадрат, коли його малював.



Адже досі багато наївні хакери несуть свою творчість і чекають хоч якоїсь подяки, в той час як на їх дари здивовано дивиться керівництво, поки IT-відділ, закінчуючи третю партію в доту лівою ногою фиксит баг, який викотили з думками «мені за це не доплачують».

Особливо розумні керівники вже оптимізували витрати на зарплати тестувальників, запустивши баг баунті програму, ввели штрафи і премії, прив'язавши їх до кількості знайдених багів багатотисячною армією безкоштовних тестувальників-хакерів.

Не всі люди технічного складу розуму, які володіють навичками продажів та можуть провести переговори з топ-менеджментом, тому якщо у компанії, в системі якої ви знайшли уразливість, є відкрита програма винагороди, і ви згодні на озвучену ціну — тоді можете сміливо репортить.

Якщо ж програми немає, тоді призначайте свою ціну, чому ні? Це ваш час і тільки ви можете її оцінити по достоїнству. Зрештою, є тіньовий ринок і різного роду форуми, де в достатній анонімності ви зможете продати інформацію за хороші гроші.

P. S. продаж відкритою і доступною для всіх інформації не є порушенням закону


Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.