Javascript-форум (https://javascript.ru/forum/)
-   Оффтопик (https://javascript.ru/forum/offtopic/)
-   -   Торговля уязвимостями: за и против, подводные камни (https://javascript.ru/forum/offtopic/56285-torgovlya-uyazvimostyami-za-i-protiv-podvodnye-kamni.html)

Makarov 08.06.2015 18:10
Торговля уязвимостями: за и против, подводные камни
 
Один мой друг случайно наткнулся на очень серьезную уязвимость в продукте большой компании. Уязвимость позволяет как минимум получить доступ к базе на чтение, то есть как минимум вытянуть информацию про множество клиентов с адресами, телефонами, номерами паспортов и прочим. Теперь он думает что с привалившим счастьем делать и спросил у меня совета, так как у меня в этой организации знакомые.

Вариант "рассказать об уязвимости организации через официальные каналы" отпадает сразу. Это реально тяжеловесная бюрократическая компания, с отвратительной репутацией и большим штатом юристов.
Во-первых хрен знает как донести до людей которые могут это поправить, да и вообще почешутся ли они
Во-вторых, тебе за это не то что спасибо не скажут, тут скорее припугнут юристами с мотивировкой "нефиг тут наши программы ломать".

Соответственно в голову приходит еще два варианта: опубликовать, продать, забить.

С опубликовать механизм понятен: на хабре подробный рассказ об уязвимости сразу заметят. Публиковать ясное дело анонимно, чтобы за жопу не взяли.

Вариант забить не рассматриваем, с ним итак все понятно.

Теперь, оставляя моральный аспект в стороне, рассмотрим вариант "продать". И тут одни вопросы:
  1. Сколько может стоит такая уязвимость?
  2. Насколько рынок уязвимостей вообще развит, то есть насколько быстро можно найти на эту штуку покупателя? И где?
  3. Насколько велик шанс при продаже наткнуться на представителей полиции или съездить в лес с пакетом на голове? Известны ли вам подобные случаи?
  4. Существуют ли способы продать ее "по-серому"? (Ну то есть кому-нибудь, кто не будет ее злонамеренно эксплуатировать, какой-нибудь компании по безопасности скажем)
  5. Возможно вам в голову приходят еще какие-то варианты?
  6. Как бы Вы поступили на месте моего товарища?

FINoM 08.06.2015 20:35
Ну что за люди в этом бывшем СССР... При возможности хотят всех кинуть, главное заработать деньжат по-легкому. Именно поэтому у нас не будет "как в Европе".

Я бы написал анонимное письмо компании о найденой уязвимости и не ждал бы благодарности.

Safort 08.06.2015 20:57
Makarov,
Цитата:
Вариант "рассказать об уязвимости организации через официальные каналы" отпадает сразу. Это реально тяжеловесная бюрократическая компания, с отвратительной репутацией и большим штатом юристов.
Ерунда)

Цитата:
Во-первых хрен знает как донести до людей которые могут это поправить, да и вообще почешутся ли они
Значит нужно найти не прогеров, а кого-нибудь из важных управляющих.

Цитата:
Во-вторых, тебе за это не то что спасибо не скажут, тут скорее припугнут юристами с мотивировкой "нефиг тут наши программы ломать".
Смотря как объяснишь суть проблемы.

Цитата:
Как бы Вы поступили на месте моего товарища?
Точно бы не стал торговать уязвимостями. Кривая дорога.

Gozar 08.06.2015 23:39
Цитата:
Сообщение от Makarov
Один мой друг
Значит ты.

Цитата:
Сообщение от Makarov
случайно
Да, да, прокурору расскажешь.

Цитата:
Сообщение от Makarov
у меня в этой организации знакомые
вот теперь все стало очень ясно.

Суши сухари, или как ты себя называешь "твой товарищ" пусть сушит.

рони 09.06.2015 10:33
на тему ошибки и деньги
При достаточном количестве денег все ошибки выплывают на поверхность (перевод)

cyber 09.06.2015 13:09
http://habrahabr.ru/post/259363/#comment_8444645


Часовой пояс GMT +3, время: 09:29.