Как поступить с найденной уязвимостью и что делать если нет Bug Bounty программы?28.07.2016 22:18

Если у вас есть информация об уязвимости и вы думаете сколько благодарности за нее вы сможете получить, то ни в коем случае не берите пример со случаев с такими компаниями, как Киевстар, МТС, ПриватБанк, да и многие другие. Ведь самое худшее, во что можно оценить стоимость уязвимости, это оплата услугами компании.

8b3552e047dd4ca9a7b855ff6138d6ec.jpg

После моей недавней статьи: «Почему в Украине нет белых хакеров или история взлома Киевстар», которая попала в рассылку «Самое интересное на Geektimes», я внимательно ознакомился с комментариями и пообщавшись с некоторыми моими читателями, я понял, что надавил на больной мозоль.

Уязвимость однозначно стоит денег, в худшем случае тех, которые может потерять компания.

В 2015 году потери от утечки данных в среднестатистической компании оцениваются приблизительно в 3.8 миллиона долларов согласно отчету Ponemon. & IBM.

Минимальную же оценку уязвимости вы можете посмотреть в публичных Bug Bounty программах. Это те рамки от и до, в которых стоит мыслить.

Важно понять, что оценка уязвимости без должного анализа — это сугубо субъективный процесс, ведь каждый скажет свою цифру с потолка. Это чем-то схоже на оценку предметов искусства. Каждый предмет (уязвимость):

  • абсолютно уникален и неповторим
  • подделать не возможно
  • имеется в единственном числе
  • для кого-то не стоит и гроша, а кто-то готов заплатить миллионы.

Для тех хакеров, которые далеки от этого понимания и придумали Bug Bounty программы, где огласили фиксированный прейскурант на описанные типы уязвимостей и поставили это на поток

Задумайтесь, Малевич ведь не знал сколько будет стоить его квадрат, когда его рисовал.

ab2ec97cf800459bb6096176cb8fade7.jpg

А ведь до сих пор многие наивные хакеры несут свое творчество и ожидают хоть какой-либо благодарности, в то время как на их дары непонимающе смотрит руководство, пока IT-отдел, заканчивая третью партию в доту левой ногой фиксит баг, который выкатили с мыслями «мне за это не доплачивают».

Особо умные руководители уже оптимизировали расходы на зарплаты тестировщиков, запустив баг баунти программу, ввели штрафы и премии, привязав их к количеству найденных багов многотысячной армией бесплатных тестировщиков-хакеров.

Не все люди технического склада ума обладают навыками продаж и могут провести переговоры с топ-менеджментом, поэтому если у компании, в системе которой вы нашли уязвимость, есть открытая программа вознаграждения, и вы согласны на озвученную цену — тогда можете смело репортить.

Если же программы нет, тогда назначайте свою цену, почему нет? Это ваше время и только вы можете его оценить по достоинству. В конце концов, есть теневой рынок и различного рода форумы, где в достаточной анонимности вы сможете продать информацию за хорошие деньги.

P.S. продажа открытой и доступной для всех информации не является нарушением закона

15338df07b3b4a2ab111c1a2a92210bc.jpg

Комментарии (1)

  • 28 июля 2016 в 21:30

    0

    На самом деле: если звезды правильны на небе, и найдет баг, который может стоит миллион, то его надо продать за полляма.
    Ну, а уязвимости у мелких сайтов, в опенсорс софте или где еще по мелочи — сообщить по почте, или создать issue.

© Habrahabr.ru