Как стать автором
Обновить

Как поступить с найденной уязвимостью и что делать если нет Bug Bounty программы?

Время на прочтение 2 мин
Количество просмотров 18K
Если у вас есть информация об уязвимости и вы думаете сколько благодарности за нее вы сможете получить, то ни в коем случае не берите пример со случаев с такими компаниями, как Киевстар, МТС, ПриватБанк (уже развенчано: https://habrahabr.ru/post/306694/ ), да и многие другие. Ведь самое худшее, во что можно оценить стоимость уязвимости, это оплата услугами компании.



После моей недавней статьи: “Почему в Украине нет белых хакеров или история взлома Киевстар”, которая попала в рассылку “Самое интересное на Geektimes”, я внимательно ознакомился с комментариями и пообщавшись с некоторыми моими читателями, я понял, что надавил на больную мозоль.

Уязвимость однозначно стоит денег, в худшем случае тех, которые может потерять компания.
В 2015 году потери от утечки данных в среднестатистической компании оцениваются приблизительно в 3.8 миллиона долларов согласно отчету Ponemon. & IBM.

Минимальную же оценку уязвимости вы можете посмотреть в публичных Bug Bounty программах. Это те рамки от и до, в которых стоит мыслить.

Важно понять, что оценка уязвимости без должного анализа — это сугубо субъективный процесс, ведь каждый скажет свою цифру с потолка. Это чем-то схоже на оценку предметов искусства. Каждый предмет (уязвимость):
  • абсолютно уникален и неповторим
  • подделать не возможно
  • имеется в единственном числе
  • для кого-то не стоит и гроша, а кто-то готов заплатить миллионы.

Для тех хакеров, которые далеки от этого понимания и придумали Bug Bounty программы, где огласили фиксированный прейскурант на описанные типы уязвимостей и поставили это на поток

Задумайтесь, Малевич ведь не знал сколько будет стоить его квадрат, когда его рисовал.



А ведь до сих пор многие наивные хакеры несут свое творчество и ожидают хоть какой-либо благодарности, в то время как на их дары непонимающе смотрит руководство, пока IT-отдел, заканчивая третью партию в доту левой ногой фиксит баг, который выкатили с мыслями «мне за это не доплачивают».

Особо умные руководители уже оптимизировали расходы на зарплаты тестировщиков, запустив баг баунти программу, ввели штрафы и премии, привязав их к количеству найденных багов многотысячной армией бесплатных тестировщиков-хакеров.

Не все люди технического склада ума обладают навыками продаж и могут провести переговоры с топ-менеджментом, поэтому если у компании, в системе которой вы нашли уязвимость, есть открытая программа вознаграждения, и вы согласны на озвученную цену — тогда можете смело репортить.

Если же программы нет, тогда назначайте свою цену, почему нет? Это ваше время и только вы можете его оценить по достоинству. В конце концов, есть теневой рынок и различного рода форумы, где в достаточной анонимности вы сможете продать информацию за хорошие деньги.

P.S. продажа открытой и доступной для всех информации не является нарушением закона

Теги:
Хабы:
+7
Комментарии 65
Комментарии Комментарии 65

Публикации

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн