Lavoro per una startup SaaS B2B che non ha molti soldi (siamo 6 persone, 2 sviluppatori, abbiamo circa 6 mesi di pista e $ 25.000 di entrate mensili, < 50 clienti).
Un consiglio comune che ho visto per le piccole imprese / start-up è di "fare abbastanza" per la sicurezza (un equilibrio di rischio / ricompensa). Per noi, tuttavia, è al centro del nostro pensiero quando scriviamo codice (ad esempio includiamo una revisione della sicurezza come passaggio esplicito nel nostro processo di revisione del codice, usiamo solo istruzioni SQL preparate, ecc.)
Recentemente un ricercatore di sicurezza ci ha contattato su alcune vulnerabilità. Ho detto loro che non abbiamo un programma di taglie ufficiale, ma siamo disposti a risarcire. Ho detto che il programma Slack potrebbe essere una guida su come potremmo pagare (dipende in realtà dal problema e dall'impatto / rischio per la nostra attività) .
Il primo problema segnalato era un attacco CSRF che poteva consentire a una vittima di aggiungere accidentalmente l'attaccante al proprio account e ottenere l'accesso completo all'account della vittima. Questo era POC perché ha bisogno di un po 'di lavoro da sfruttare. Credevamo che, se sfruttato, potesse esporre tutti agli utenti dei dati dei nostri utenti. Anche se fosse POC, potrebbe potenzialmente distruggere la nostra attività. Li abbiamo premiati con $ 500 e spedito qualche swag. Quando siamo andati a pagarli, hanno richiesto $ 550 a causa delle commissioni PayPal. Ho detto loro che se fossimo quotati in un sito come HackerOne, PayPal prelevasse comunque delle commissioni indipendentemente dall'importo.
Hanno segnalato un problema per un attacco IDOR che poteva consentire a qualsiasi utente malintenzionato autenticato di "disabilitare" qualsiasi utente nella nostra applicazione. Disabilitare un utente nella nostra applicazione imposta semplicemente un flag che non è possibile accedere. Questo attacco non rivela alcuna informazione ed è facilmente reversibile. Al momento, riteniamo che l'effettivo impatto / rischio aziendale sia molto basso (poiché può essere invertito e non espone i dati dei clienti). Abbiamo risolto immediatamente questa vulnerabilità. Il ricercatore di sicurezza è stato molto invadente con la ricompensa prevista nel loro rapporto iniziale. Hanno quotato $ 15000 per un attacco IDOR su Uber e $ 1500 da Slack. Ho risposto e ho detto che discuteremo internamente della ricompensa perché riteniamo che l'impatto sia basso. Hanno inviato una risposta affermando quanto sia critico questo problema e come possa causare il caos sulla nostra attività. L'inglese non è la prima lingua di questa persona (e le relazioni sono drammatiche / di bassa qualità in termini di comunicazione), ma l'ho tagliato e focalizzato solo sull'impatto aziendale (non sul rapporto / giornalista).
Vogliamo incoraggiare i rapporti sulle vulnerabilità e vogliamo premiare / compensare i giornalisti con i tassi di mercato. Tuttavia, non abbiamo molti soldi dal momento che siamo una startup senza alcun investimento. Sto avendo una grande lotta interna per compensare le vulnerabilità e l'essere senza lavoro perché i nostri soldi stanno per pagare le vulnerabilità. Non vogliamo pagare nulla, ma vogliamo incoraggiare i report white hat.
In questo momento, sono nella mentalità di "pagare ciò che riteniamo valga la pena per il rischio / l'impatto del business". Per la seconda vulnerabilità, abbiamo discusso di valere $ 150. Quando abbiamo inviato una risposta con il nostro importo, hanno cercato di contrattare noi a $ 500 e $ 300 sostenendo che è ingiusto.
Che consiglio daresti a una piccola azienda per creare / mantenere un programma di bug bug?