Siamo stati contattati da un "ricercatore indipendente della sicurezza" tramite il progetto Open Bug Bounty . Le prime comunicazioni sono state abbastanza buone e ha rivelato la vulnerabilità trovata. Abbiamo rattoppato il buco e abbiamo detto "grazie", ma abbiamo rifiutato di pagare una donazione (vedi sotto).
Il ricercatore ha quindi inviato una email di follow-up affermando di aver trovato più vulnerabilità, ma poiché non abbiamo fatto una donazione, manterrà queste vulnerabilità per sé.
In altre parole, ci ha solo detto che aveva più vulnerabilità, ma non le avrebbe rivelate, dopo aver preso la decisione di non pagare la donazione volontaria suggerita.
A mio parere, questo non è più in linea con il comportamento responsabile del cappello bianco. Ho ragione in questa affermazione?
Aggiorna
Sì, la persona è stata abbastanza esplicita nel suggerito
importo per la donazione.
I vari motivi includono il mancato pagamento della "donazione" richiesta:
- l'altezza suggerita della "donazione volontaria" in combinazione con la gravità della vulnerabilità rilevata,
- la vulnerabilità in questione era, secondo i nostri registri, non trovata da un individuo "altamente qualificato", ma piuttosto da uno strumento automatico,
- il fatto che il progetto Open Bug Bounty accluda esplicitamente che non è richiesto alcun pagamento,
- il tono di voce aggressivo passivo.
Quanto sopra, in combinazione con il fatto che, mentre stiamo impostando un budget di bounty e una politica associata, non abbiamo ancora completato questo.
Siamo chiari: non abbiamo impostato una taglia, ne abbiamo promessa una e non ci siamo registrati per questo progetto. Il progetto Open Bug Bounty è un progetto non affiliato, che dice esplicitamente: " Non c'è, assolutamente, alcun obbligo o dovere di esprimere gratitudine ".
Inoltre, nota: anche se sono a favore di una sorta di quadro legale per proteggere i ricercatori di sicurezza in buona fede, questo quadro giuridico non esiste, in questo momento, nella nostra giurisdizione; un fatto che la nostra persona legale era fin troppo ansiosa di sottolineare.