I miei colleghi e io abbiamo scoperto un importante problema di sicurezza in uno strumento di sicurezza informatica popolare, che andrà senza nome qui per ragioni che diventeranno evidenti.
Abbiamo segnalato il problema al fornitore dello strumento tramite il loro programma di bug bug su bugcrowd. Lo hanno classificato come un problema P2 e ci hanno pagato $ 2.000 per questo.
Sono passati circa sei mesi, e il problema non è ancora stato risolto, né ci hanno dato un calendario per quando sarà. Ci hanno anche informato che secondo i termini del loro programma di bug bug non siamo autorizzati a rivelare pubblicamente il problema, non importa quanto tempo ci vuole per risolverlo. AGGIORNAMENTO: li ho seguiti due volte dopo averlo segnalato, esprimendo crescente agitazione per il fatto che il problema non è stato ancora risolto e mi sembra probabile che sia stato sfruttato, e questo è quello che mi è stato detto ogni volta.
Il problema non era per noi arcano o difficile da scoprire e riprodurre. Ci sono state molte discussioni pubbliche su problemi di questo tipo in strumenti di questo tipo. Questo mi fa preoccupare che fossero a conoscenza del problema prima di segnalarlo a loro, e ci ha pagato la taglia di $ 2,000 per "catturare e uccidere" il nostro rapporto, cioè per impedirci di rivelarlo pubblicamente prima di ripararlo.
Sono preoccupato che gli hacker stiano sfruttando la questione in natura per compromettere i dati delle persone, e il fornitore dello strumento sta permettendo che questo continui non rivelando o risolvendo il problema.
Anche nella versione esistente dello strumento, è possibile applicare una soluzione per ridurre al minimo l'impatto del problema, pertanto la divulgazione consentirebbe alle persone che utilizzano lo strumento di proteggersi prima ancora che venga rilasciata una correzione. Sono quindi sempre più a disagio nel sedermi a conoscenza di questo problema piuttosto che rivelarlo pubblicamente.
A questo punto sarei felice di inviare un assegno di $ 2,000 al loro indirizzo postale aziendale e dire loro di prendere la loro taglia e spingerlo e poi divulgare pubblicamente il problema per proteggere gli altri utenti dello strumento. Il problema è che abbiamo donato i 2.000 dollari in beneficenza - come abbiamo detto loro che stavamo progettando di fare quando abbiamo segnalato loro il problema - quindi non abbiamo più i soldi per rimandarli indietro.
Qualcuno ha qualche consiglio da offrire?