Informe a la compañía de inmediato, si no es demasiado tarde, también evite mirar la información de otros clientes. Incluya un PoC que indique información en una cuenta de prueba si es posible. Si esos pasos no son factibles en esta situación, informe a la empresa e incluya un PoC.
En la actualidad, las empresas están mucho menos contentas y hay muchos más precedentes legales para proteger a los investigadores. En cualquier lugar entre 60 y 90 días es bastante común que se incluya una solución después de la notificación (y puede tomar múltiples intentos de notificación, a múltiples direcciones de correo electrónico diferentes). Si la empresa tiene una gestión decente a mitad de camino que sabe qué es una recompensa por errores, le dará una exigua recompensa incluso sin tener una recompensa oficial por errores. De lo contrario, una vez que decida divulgar todo sobre cómo lo encontró (preferiblemente después de ser reparado), habrá una afluencia de investigadores gruñones que sabrán no molestarse en hacer un trabajo gratuito para esa empresa.
Tenga en cuenta que incluso los lugares con recompensas de errores oficiales bien establecidas tienden a negar las recompensas si creen que realmente ha obtenido datos de los usuarios, ya que hacerlo tiende a ser una violación del alcance establecido para la recompensa, pero a veces eso simplemente no se puede evitar.
- Cómo hacer que mi computadora sea lo más segura posible
- ¿Hay alguna manera de "desproteger" un documento PDF protegido sin la contraseña?
- ¿Qué contraseñas deben cambiarse y con qué frecuencia?
- Cómo detener a alguien que ha pirateado mi cuenta de correo electrónico
- ¿Qué parte de la URL del sitio web es revelada por HTTPS?
Lo que definitivamente no debe hacer es tratar de acortar el stock de la compañía en cuestión justo antes públicamente (ya sea de forma maliciosa y anónima, o bajo alguna divulgación completa con el pretexto ‘¡Soy solo un buen investigador!’) Revelando los detalles para causar un daño a la reputación de la empresa y obtener una buena ganancia.