Интересное дополнение! Зачастую, агрегаторы и платформы bug bounty программ утверждают обратное, что white hackers с репутацией и опытом работы можно больше доверять, потому что они профессионалы. Но тяжело поспорить с тем что больше и соблазнов и влияния на них со стороны.
«Благодарим» — не так сложно же сказать? Аэрофлот адекватно поступил. Все по правилам.
Вы поступили как истинный white hat.
Я бы вам лишь смог бы порекомендовать спросить у них разрешение на full disclose уязвимости, можно ли вам опубликовать историю вашей находки, раз уж они ее пофиксили.
Получите хоть не деньги, так лайки :) и опытом поделитесь.
dinikin, а вам нравится взрывать себе мозг репортами в компании, которые и не слышали о политике vulnerability disclosure? :) Некоторые не такие как сдержанные и этичные как вы #FuckResponsibleDisclosure
Это еще хорошо, что взялись пофиксить, кстати, как долго фиксили?
Вы можете выбрать из 30-ти докладов, интересующие именно вас, на сайте конференции. Есть и видео и презентации. Данная статья без технических деталей, именно поэтому я и опубликовал ее на geektimes.
Так потому мы и видим в еновостях сколько хакеры денег наломали и кому из них не удалось избежать наказания. Для White Hat никто не создает условия, это попросту не выгодно.
Буду рад если кто предложит более эффективные правила и не менее «белые».
А какие изысканые способы серых хакеров торговаться и получать деньги за найденные уязвимости знаете вы?
Вы поступили как истинный white hat.
Я бы вам лишь смог бы порекомендовать спросить у них разрешение на full disclose уязвимости, можно ли вам опубликовать историю вашей находки, раз уж они ее пофиксили.
Получите хоть не деньги, так лайки :) и опытом поделитесь.
Это еще хорошо, что взялись пофиксить, кстати, как долго фиксили?
Логичное, а самое главное, мотивирующее ценообразование.
Но ведь, написав это в письме руководству компании, не посчитают ли это вымогательством?