Supponiamo che ti imbatti in una vulnerabilità in qualche sistema online, che è un prodotto commerciale di una piccola azienda statunitense (da 1 a 50 dipendenti secondo Glassdoor). Tale sistema online deve essere ospitato per alcuni clienti e venduto ad altri. La vulnerabilità deve consistere nell'accesso non autorizzato / escalation dei privilegi tramite manipolazione di URL e deve consentire la fuga di informazioni e la modifica, con la modifica dei dati una minaccia piuttosto teorica che sarebbe facilmente rilevabile: il problema principale è la perdita di dati sensibili. È ragionevole presumere che la società non voglia che questo problema diventi pubblico. Il venditore non sembra avere un programma di bug bounty.
Non vorresti sfruttare questa vulnerabilità. Al contrario, vorresti assicurarti che questa vulnerabilità sia corretta. Nello specifico, vorrai assicurarti che i sistemi dei clienti siano aggiornati e che i clienti siano informati sul potenziale delle perdite passate. (Quest'ultimo è difficile da rilevare senza divulgazione pubblica.)
Idealmente, accetterei anche qualche riconoscimento (non necessariamente denaro - forse qualcosa da mettere nel tuo CV va tutto bene); idealmente, ti piacerebbe essere ringraziato pubblicamente per aver trovato e segnalato la vulnerabilità, insieme a una divulgazione pubblica. Ovviamente, non renderei i pagamenti monetari una condizione per la divulgazione --- confronta richiede una" donazione "prima di rivelare il comportamento dei black hat delle vulnerabilità?
Capisco che contattare i clienti non sarebbe l'ideale, a dir poco --- confrontare Contattare i clienti di software vulnerabili, è sbagliato?
Comprendo anche che negli Stati Uniti (supponiamo che tu non sia statunitense, ma potresti voler viaggiare lì), anche la modifica di un URL può essere considerata illegale --- confronta A che punto "l'hacking" diventa illegale? (US) . Pertanto, si potrebbe non voler voler contattare l'azienda con un nome reale, almeno per cominciare.
Quindi, quali sono i modi buoni e sicuri? Mi sono venute in mente le seguenti soluzioni alternative (si tratta di quattro idee individuali --- non di quattro passaggi di un'idea):
-
Scrivi un'email anonima (tramite Tor ecc.).
-
Convinca la compagnia che un programma di bug bug è stato nel loro migliore interesse. Aspetta che inizi, quindi divulga attraverso il programma di bug bounty. Ciò avrebbe il beneficio di almeno una certa protezione legale per la parte divulgante, come ho capito.
-
Svela attraverso openbugbounty.org . Rivelare pubblicamente dopo 90 giorni.
-
Prenota un CVE per dimostrare successivamente che uno è il divulgatore.
Alcune domande relative alle idee di cui sopra (potrei suddividerle in singole domande se la gente pensa che abbia senso):
- Mi sono imbattuto in questo commento , che mi sembra sbagliato:
In extortion the payment is mostly for not publicly disclosing the vulnerability, not so much for its private disclosure. If you would just ask money for private disclosure without threatening exploiting it or public disclosure, I would not think of it as extortion.
Questo è un parere accettato?
-
Come si farebbe senza apparire estorsionista? Si può rivelare pubblicamente se il programma di bug bug non implica la divulgazione pubblica da parte dell'azienda?
-
È disponibile per qualsiasi sito web o solo per siti web partecipanti?
-
Allora cosa?