Один мой друг случайно наткнулся на очень серьезную уязвимость в продукте большой компании. Уязвимость позволяет как минимум получить доступ к базе на чтение, то есть как минимум вытянуть информацию про множество клиентов с адресами, телефонами, номерами паспортов и прочим. Теперь он думает что с привалившим счастьем делать и спросил у меня совета, так как у меня в этой организации знакомые.
Вариант "рассказать об уязвимости организации через официальные каналы" отпадает сразу. Это реально тяжеловесная бюрократическая компания, с отвратительной репутацией и большим штатом юристов.
Во-первых хрен знает как донести до людей которые могут это поправить, да и вообще почешутся ли они
Во-вторых, тебе за это не то что спасибо не скажут, тут скорее припугнут юристами с мотивировкой "нефиг тут наши программы ломать".
Соответственно в голову приходит еще два варианта: опубликовать, продать, забить.
С опубликовать механизм понятен: на хабре подробный рассказ об уязвимости сразу заметят. Публиковать ясное дело анонимно, чтобы за жопу не взяли.
Вариант забить не рассматриваем, с ним итак все понятно.
Теперь, оставляя моральный аспект в стороне, рассмотрим вариант "продать". И тут одни вопросы:
- Сколько может стоит такая уязвимость?
- Насколько рынок уязвимостей вообще развит, то есть насколько быстро можно найти на эту штуку покупателя?
И где?
- Насколько велик шанс при продаже наткнуться на представителей полиции или съездить в лес с пакетом на голове? Известны ли вам подобные случаи?
- Существуют ли способы продать ее "по-серому"? (Ну то есть кому-нибудь, кто не будет ее злонамеренно эксплуатировать, какой-нибудь компании по безопасности скажем)
- Возможно вам в голову приходят еще какие-то варианты?
- Как бы Вы поступили на месте моего товарища?