Se qualcuno scopre una vulnerabilità sconosciuta per un determinato servizio o sito Web online, esiste un modo decente di venderlo direttamente all'entità interessata.
Non esiste una soluzione sicura garantita per gestire le vulnerabilità rilevate. Ci sono stati casi recenti in cui i ricercatori sono stati minacciati di accusa semplicemente per aver segnalato una vulnerabilità di URL semplice a una banca. La banca li ha accusati di hacking, perché era una violazione dei loro TOS per tentare di manipolare il loro URL.
Non hanno alcun obbligo di trattare con te. Non hanno contratto con te per cercare vulnerabilità. Quindi non aspettarti molto in termini di cooperazione.
Considera l'utilizzo di un remailer di terze parti per contattarli. Puoi offrire loro in modo anonimo la vulnerabilità, insieme a una parola in codice, quindi avvicinarli in un secondo momento dopo aver accettato di non perseguire.
Potresti anche contattarli tramite uno dei loro fornitori. Se vedi che il loro sito è ospitato su IIS, puoi contattare il team di sicurezza di Microsoft al posto dell'organizzazione.
L'unico modo "decente" per fare soldi con i bug di sicurezza rilevati, a meno che tu non sia stato contattato in anticipo, è attraverso "bug bounty" o programmi simili. Se contatti un'azienda per informarli del bug e richiedi denaro prima di dirlo, è probabile che tu sia in difficoltà legali per estorsione.
C'è davvero solo un modo in cui ho visto in cui è possibile prevenire la richiesta di estorsione. Ciò significherebbe dare loro una NDA firmata, in pratica dicendo che non rilascerete informazioni sull'errore a nessuno che non sia loro, anche se rifiutano la vostra offerta. L'offerta è che tu dai loro informazioni sul bug se hanno scelto di pagarti, altrimenti lo porti nella tomba. Ma questo sarebbe ancora un duro andare.
Probabilmente è meglio che tu rilasci le informazioni tramite metodi normali, mailing list di sicurezza professionale, ecc ... Ottieni il tuo nome come ricercatore per la sicurezza, ottieni più contratti, ecc.
Modifica: come indicato nel commento, non ho menzionato i programmi di terze parti, ovvero zerodayinitiative.com che a seconda di cosa hai trovato, sarebbe sicuramente valso la pena di esaminarlo.
È semplice, chiamali, chiedi cosa stai cercando di segnalare (se non riesci a trovare nulla online su una taglia o una ricompensa per segnalazioni di bug di qualche tipo)
Chiedete loro se avranno qualche programma di quel tipo di cose, se dicono NO, beh, il vostro unico modo è contattare qualcuno che può cambiarlo, come il "presidente" dell'azienda (semplicemente parlando dalla mia testa ).
Ma, segnalazioni di bug tutte le applicazioni e i servizi web hanno ... se avessi trovato un exploit, sarebbe una cosa diversa, e la maggior parte delle grandi aziende ti premiano molto, (google, facebook e così .. .).
Se potessi pubblicare esattamente quale società, sarebbe più utile perché questo genere di cose dipende da ognuno di loro.
Leggi altre domande sui tag legal vulnerability-markets