Комментарии 3
Тут есть тонкий момент. Обнаружить дыру в системе хранения данных — с этим все оk. А вот попытаться скачать конфиденциальные данные, протестировав эту дыру, — это уже срок. Пентестер должен указать на дыру разработчикам и указать на возможность, как можно ее использовать, но не пробовать делать это самостоятельно.
Как раз тут всё просто: «нарушите или нарушите» — выбор за вами! )
Чтобы подстраховаться от нечестных компаний, рекомендуем работать через сайты HackerOne и BugCrowd. Просто зарегистрируйтесь и подавайте заявки с обнаруженными багами через них.

Простите, ору. HackerOne — это организация, которая всеми силами будет выгораживать компанию, даже если она решит кинуть исследователя. Доходит до угроз бана профиля, если исследователь недоволен тем, что его отчёт рассмотрели, баг исправили, а денег не заплатили.


Плюс, там есть адекватные компании, вроде QIWI и Mail.ru, но программы, где отчеты разбирают сотрудники Hackerone — это ад. Я никогда не думал, что можно быть настолько неадекватным, что не уметь читать, что тебе пишут, но при этом иметь работу в инфобезе. Оказалось, что в HackerOne можно.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.