Estás en una posición difícil: por un lado, no debes nada a estos hackers. No ha publicado un programa de recompensas por errores y no los contrató para evaluar su sistema. Probablemente excedieron la autorización de alguna manera para demostrar el error, lo que los pone en conflicto con la ley. Podrías conseguir un abogado y presentar cargos.
Por otro lado, le han brindado un servicio valioso, hasta ahora de forma gratuita. Han sido honestos y exagerados con su divulgación (aunque un poco confusos y en busca de riesgos en el orden en que lo hicieron), y su sitio es más seguro. Probablemente deberías compensarlos de alguna manera.
Recomiendo la segunda opción. Debe recompensarlos, mientras aclara de manera sólida exactamente los términos en los que se manejarán los futuros informes de errores.
- ¿Es Wordfence o WPMU DEV Defender una mejor solución de seguridad de WordPress?
- ¿Cuál es el mejor antivirus gratuito?
- ¿Qué tan seguros son mis archivos en Dropbox?
- ¿Cómo funciona / funciona un software antivirus?
- ¿Cumple Facebook Connect PCI-DSS?
Básicamente, hay 4 formas de recompensar a estos piratas informáticos:
- Reconocimiento. Haga una página de “Salón de la fama de la seguridad” en su sitio y ponga sus nombres en ella. Ofrezca un enlace a su blog desde su página de noticias. Ver: página de agradecimiento de Facebook.
- Mercancía promocional , también conocida como schwag. ¿Tiene camisetas de la empresa u otros artículos con su logotipo? Envía algunos de estos a su manera. Precaución: esto podría ser percibido como una bofetada. Ver: el nuevo programa de recompensas de errores de Yahoo abandona las camisetas por recompensas de $ 15K.
- Servicios. ¿Su sitio tiene un área de membresía paga? ¿Una versión “profesional” que cuesta? Dáselo gratis. Te cuesta poco y podría valer mucho para ellos. Después de todo, se interesaron en su sitio para empezar.
- Dinero. Evitaría esta opción si es posible, ya que no tiene un programa de recompensas publicado. Probablemente no tenga el presupuesto para ofrecer algo similar a lo que pueden ofrecer los grandes (Google, Facebook, Yahoo, Microsoft), por lo que aquí podría percibirse como un desaire. Sería mejor evitar el problema si es posible.
Sin saber nada personalmente acerca de estos piratas informáticos en particular, no sabes si te están extorsionando o simplemente buscando algún reconocimiento. La forma más segura de jugar sería comenzar primero un programa de recompensas de errores que pueda justificar en función del presupuesto, y luego enviar su pequeña compensación junto con el anuncio del programa. De esa manera, pueden ver que se los está tomando en serio y no tienen ningún recurso para exigir más (¡sin producir más errores!).
Con cada vez más compañías que ofrecen programas de recompensas por errores, tiene muchos ejemplos a seguir. Incluso hay empresas que ejecutarán el programa por usted. Aquí hay algunos recursos:
- Información del programa Bug Bounty
- Programas de recompensas de errores gestionados, un mejor enfoque para las pruebas de seguridad
- Lista de recompensas de errores y programas de divulgación
- Cómo los programas Bug Bounty generan grandes ahorros y mejor seguridad