Javascript.RU

Создать новую тему Ответ
 
Опции темы Искать в теме
  #1 (permalink)  
Старый 08.06.2015, 18:10
Аватар для Makarov
Профессор
Отправить личное сообщение для Makarov Посмотреть профиль Найти все сообщения от Makarov
 
Регистрация: 08.07.2013
Сообщений: 212

Торговля уязвимостями: за и против, подводные камни
Один мой друг случайно наткнулся на очень серьезную уязвимость в продукте большой компании. Уязвимость позволяет как минимум получить доступ к базе на чтение, то есть как минимум вытянуть информацию про множество клиентов с адресами, телефонами, номерами паспортов и прочим. Теперь он думает что с привалившим счастьем делать и спросил у меня совета, так как у меня в этой организации знакомые.

Вариант "рассказать об уязвимости организации через официальные каналы" отпадает сразу. Это реально тяжеловесная бюрократическая компания, с отвратительной репутацией и большим штатом юристов.
Во-первых хрен знает как донести до людей которые могут это поправить, да и вообще почешутся ли они
Во-вторых, тебе за это не то что спасибо не скажут, тут скорее припугнут юристами с мотивировкой "нефиг тут наши программы ломать".

Соответственно в голову приходит еще два варианта: опубликовать, продать, забить.

С опубликовать механизм понятен: на хабре подробный рассказ об уязвимости сразу заметят. Публиковать ясное дело анонимно, чтобы за жопу не взяли.

Вариант забить не рассматриваем, с ним итак все понятно.

Теперь, оставляя моральный аспект в стороне, рассмотрим вариант "продать". И тут одни вопросы:
  1. Сколько может стоит такая уязвимость?
  2. Насколько рынок уязвимостей вообще развит, то есть насколько быстро можно найти на эту штуку покупателя? И где?
  3. Насколько велик шанс при продаже наткнуться на представителей полиции или съездить в лес с пакетом на голове? Известны ли вам подобные случаи?
  4. Существуют ли способы продать ее "по-серому"? (Ну то есть кому-нибудь, кто не будет ее злонамеренно эксплуатировать, какой-нибудь компании по безопасности скажем)
  5. Возможно вам в голову приходят еще какие-то варианты?
  6. Как бы Вы поступили на месте моего товарища?
Ответить с цитированием
  #2 (permalink)  
Старый 08.06.2015, 20:35
Аватар для FINoM
Новичок
Отправить личное сообщение для FINoM Посмотреть профиль Найти все сообщения от FINoM
 
Регистрация: 05.09.2010
Сообщений: 2,298

Ну что за люди в этом бывшем СССР... При возможности хотят всех кинуть, главное заработать деньжат по-легкому. Именно поэтому у нас не будет "как в Европе".

Я бы написал анонимное письмо компании о найденой уязвимости и не ждал бы благодарности.
__________________
"Matreshka is fucking awesome" © чувак с Reddit
Matreshka.js - Три возможности
Ответить с цитированием
  #3 (permalink)  
Старый 08.06.2015, 20:57
Аватар для Safort
Профессор
Отправить личное сообщение для Safort Посмотреть профиль Найти все сообщения от Safort
 
Регистрация: 23.12.2013
Сообщений: 1,856

Makarov,
Цитата:
Вариант "рассказать об уязвимости организации через официальные каналы" отпадает сразу. Это реально тяжеловесная бюрократическая компания, с отвратительной репутацией и большим штатом юристов.
Ерунда)

Цитата:
Во-первых хрен знает как донести до людей которые могут это поправить, да и вообще почешутся ли они
Значит нужно найти не прогеров, а кого-нибудь из важных управляющих.

Цитата:
Во-вторых, тебе за это не то что спасибо не скажут, тут скорее припугнут юристами с мотивировкой "нефиг тут наши программы ломать".
Смотря как объяснишь суть проблемы.

Цитата:
Как бы Вы поступили на месте моего товарища?
Точно бы не стал торговать уязвимостями. Кривая дорога.
Ответить с цитированием
  #4 (permalink)  
Старый 08.06.2015, 23:39
Аватар для Gozar
Отправить личное сообщение для Gozar Посмотреть профиль Найти все сообщения от Gozar
 
Регистрация: 07.06.2007
Сообщений: 7,504

Сообщение от Makarov
Один мой друг
Значит ты.

Сообщение от Makarov
случайно
Да, да, прокурору расскажешь.

Сообщение от Makarov
у меня в этой организации знакомые
вот теперь все стало очень ясно.

Суши сухари, или как ты себя называешь "твой товарищ" пусть сушит.
__________________
Последний раз редактировалось Gozar, Сегодня в 24:14.
Ответить с цитированием
  #5 (permalink)  
Старый 09.06.2015, 10:33
Аватар для рони
Профессор
Отправить личное сообщение для рони Посмотреть профиль Найти все сообщения от рони
 
Регистрация: 27.05.2010
Сообщений: 33,124

на тему ошибки и деньги
При достаточном количестве денег все ошибки выплывают на поверхность (перевод)
Ответить с цитированием
  #6 (permalink)  
Старый 09.06.2015, 13:09
Аватар для cyber
I am Student
Отправить личное сообщение для cyber Посмотреть профиль Найти все сообщения от cyber
 
Регистрация: 17.12.2011
Сообщений: 4,415

http://habrahabr.ru/post/259363/#comment_8444645
__________________
Цитата:
Если ограничения и условия описываются как "коробка", то хитрость в том что бы найти именно коробку... Не думайте о чем то глобальном - найдите коробку.
Ответить с цитированием
Ответ



Опции темы Искать в теме
Искать в теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Модификация прототипа «по требованию» — плюсы, минусы, подводные камни Antonius Общие вопросы Javascript 7 16.01.2014 04:39
Использование точки (pt) в качестве единицы измерения и их подводные камни FINoM (X)HTML/CSS 16 15.03.2012 15:26