Me contactó un grupo de hackers que encontraron un problema de seguridad en mi sitio. Me dieron toda la información que necesitaba para solucionar este problema y solicitaron ‘algo de vuelta por su ayuda’. ¿Cuánto pagarías por tal cosa?

Estás en una posición difícil: por un lado, no debes nada a estos hackers. No ha publicado un programa de recompensas por errores y no los contrató para evaluar su sistema. Probablemente excedieron la autorización de alguna manera para demostrar el error, lo que los pone en conflicto con la ley. Podrías conseguir un abogado y presentar cargos.

Por otro lado, le han brindado un servicio valioso, hasta ahora de forma gratuita. Han sido honestos y exagerados con su divulgación (aunque un poco confusos y en busca de riesgos en el orden en que lo hicieron), y su sitio es más seguro. Probablemente deberías compensarlos de alguna manera.

Recomiendo la segunda opción. Debe recompensarlos, mientras aclara de manera sólida exactamente los términos en los que se manejarán los futuros informes de errores.

Básicamente, hay 4 formas de recompensar a estos piratas informáticos:

  1. Reconocimiento. Haga una página de “Salón de la fama de la seguridad” en su sitio y ponga sus nombres en ella. Ofrezca un enlace a su blog desde su página de noticias. Ver: página de agradecimiento de Facebook.
  2. Mercancía promocional , también conocida como schwag. ¿Tiene camisetas de la empresa u otros artículos con su logotipo? Envía algunos de estos a su manera. Precaución: esto podría ser percibido como una bofetada. Ver: el nuevo programa de recompensas de errores de Yahoo abandona las camisetas por recompensas de $ 15K.
  3. Servicios. ¿Su sitio tiene un área de membresía paga? ¿Una versión “profesional” que cuesta? Dáselo gratis. Te cuesta poco y podría valer mucho para ellos. Después de todo, se interesaron en su sitio para empezar.
  4. Dinero. Evitaría esta opción si es posible, ya que no tiene un programa de recompensas publicado. Probablemente no tenga el presupuesto para ofrecer algo similar a lo que pueden ofrecer los grandes (Google, Facebook, Yahoo, Microsoft), por lo que aquí podría percibirse como un desaire. Sería mejor evitar el problema si es posible.

Sin saber nada personalmente acerca de estos piratas informáticos en particular, no sabes si te están extorsionando o simplemente buscando algún reconocimiento. La forma más segura de jugar sería comenzar primero un programa de recompensas de errores que pueda justificar en función del presupuesto, y luego enviar su pequeña compensación junto con el anuncio del programa. De esa manera, pueden ver que se los está tomando en serio y no tienen ningún recurso para exigir más (¡sin producir más errores!).

Con cada vez más compañías que ofrecen programas de recompensas por errores, tiene muchos ejemplos a seguir. Incluso hay empresas que ejecutarán el programa por usted. Aquí hay algunos recursos:

  • Información del programa Bug Bounty
  • Programas de recompensas de errores gestionados, un mejor enfoque para las pruebas de seguridad
  • Lista de recompensas de errores y programas de divulgación
  • Cómo los programas Bug Bounty generan grandes ahorros y mejor seguridad

Related Content

¿Cómo debo eliminar el virus trotux?

¿De qué manera la guerra cibernética es similar a la guerra tradicional?

¿Cómo se configuran las "puertas traseras" en el software de cifrado?

¿Cuáles son algunos problemas de seguridad con WebSockets?

¿Qué precauciones básicas, además del antivirus, son necesarias para evitar la piratería, ya sea usando una computadora o un teléfono inteligente?

Yo también soy un investigador de seguridad aficionado. He encontrado vulnerabilidades en los principales sitios como Yahoo, Adobe, Avast, por mencionar algunas.

Creo seriamente que los “piratas informáticos”, como usted dice, tienen buenas intenciones, ya que se pusieron en contacto con usted después de encontrar la vulnerabilidad. Sin embargo, encontrar errores en un sitio sin un programa de recompensas de errores es arriesgado, ya que puede ponerlos en problemas legales. Los piratas informáticos probablemente callarían, pero decidieron contactarlo. Los piratas informáticos son muy buenos para encontrar vulnerabilidades y, a veces, es instintivo y encuentran los errores con una prueba rápida y muchas veces por accidente.

Si su sitio web no es popular o no lo está ejecutando con fines de lucro, simplemente agradézcalos públicamente en su sitio web en un Salón de la Fama o incluso en una publicación de blog.

En caso de que sea con fines de lucro, simplemente envíeles algo de dinero ($ 100- $ 500) y deberían estar contentos con eso.

Sin embargo, si en alguna parte de la conversación con ellos lo amenazan o acosan, comuníquese con su abogado de inmediato y presente cargos

Khavish Bhundoo

Depende de la gravedad del problema. Algunas compañías tecnológicas más grandes incluso tienen programas de recompensas por errores (aunque muchas no). Sugeriría mirar pautas para algunos de esos programas solo para tener una idea de lo que estos tipos podrían esperar. La parte importante es que se alejan felices de modo que si descubren otro problema en su sitio en el futuro, se lo informarán (en lugar de explotarlo o divulgarlo públicamente sin darle la oportunidad de solucionarlo primero) .

De todos modos, aquí hay información (junto con las pautas de pago) para el programa de recompensas de Google: Seguridad de la aplicación

Esben Friis-Jensen

Si yo fuera estos “hackers”, tendría mucho cuidado de cómo representan sus reclamos. Si irrumpe en un negocio para demostrar una debilidad en su seguridad física, incluso si no tiene intenciones maliciosas, probablemente terminaría en el lado punitivo de la ley. ¡Hay compañías que prueban la seguridad de las instalaciones de Internet, sin embargo, procesan su “piratería” bajo la protección de un contrato legal!

Peter Kierstead

Esto suena como extorsión. No pediste su ayuda. ¿Cómo sabes que no saben sobre otras hazañas para aprovechar?

¿Entiende el problema que informaron, por qué es un problema y que la solución, de hecho, solucionará el problema? Asegúrese de que el “arreglo” no sea una forma de abrir más agujeros.

Les agradecería su ayuda, tomaría nota de su información de contacto y vería cómo reaccionan. También estaría preparado para contratar una firma de seguridad adecuada para hacer una revisión de seguridad de su sitio y probablemente buscar asesoramiento legal.

Daniel Miller

Si puede en el momento dado, ¿por qué no y pasa alguna información? Más de cierta cantidad de $$ ayuda es mucho más divertido de todos modos. Quién sabe. Encontrar … el tiempo.

¡Cuidate! Podría ser una estafa. Inventa y vende sin problemas.

Use una tarjeta prepaga si dona … pero arriesgue allí también.

Espere. ¿Cómo lo sabes? Estoy seguro, pero la gente todavía confía en mí, pero nunca $$ solo palabras.

Esben Friis-Jensen

Te sugiero que discutas esto de manera directa con los hackers. Eso sería lo mejor.

Además, no creo que nada más de 1000 USD esté justificado a menos que sea una gran entidad corporativa. También dependería de si obtiene un beneficio ordenado de ese sitio. Si el sitio no tiene fines de lucro, supongo que algo en el rango de los 100 USD sería aceptable si los piratas informáticos no esperan grandes cantidades de su parte.

Esben Friis-Jensen

Una excelente manera de crear una estructura clara para futuros informes como este, qué tipo de recompensas desea otorgar y evitar envíos aleatorios es configurar un programa de divulgación responsable. Puede ser una página estática en su sitio con un correo de seguridad o puede, por ejemplo, usar nuestro servicio en CrowdCurity, que es gratuito para programas con salón de la fama.

Peter Kierstead

Microsoft tiene un programa de recompensas para recompensar a este tipo de hombres. Las grandes empresas de TI también tienen este tipo de programas. No sé sobre usted, pero debe pensar en la seguridad después de recibir dicha información. Si son consultores profesionales de seguridad, deles algo. Si no lo son, haz algo sabio.

“No comiences una guerra que no sabes cómo ganar”.

Esben Friis-Jensen

More Interesting

Mantengo una carpeta y una clave encriptadas (separadas) + software encriptado (en el caso) para que mi hija abra después de 14 años. ¿Qué es todo lo que no estoy considerando?

¿Quién es el mejor servicio de eliminación de malware de sitios web?

¿Cuáles son las diferencias entre un virus informático, un gusano, un troyano, malware y spyware?

¿Es posible comprar una computadora que no pueda ser hackeada?

¿Norton 2017 antivirus elimina Nova.rambler.ru?

¿Por qué la contraseña en muchos sitios web requiere ser complicada?

¿Cuáles son las formas y herramientas más seguras y efectivas necesarias para proteger y proteger una computadora portátil Debian y un servidor Debian?

Cómo saber si un sitio web es seguro y cuáles son los sitios web más seguros del mundo

Cómo cambiar mi contraseña de Yahoo para que sea una autenticación de dos pasos más segura

¿Qué vulnerabilidad llevó al hackeo del sitio web IIT-Delhi?

¿Qué tan bien funciona el cifrado de disco completo en los modos de bajo consumo o de suspensión?

Hackeo de computadoras (seguridad): ¿Cómo monitoreo y defiendo a un hacker que está olisqueando mi sistema?

Mi compañero de clase hackeó las cuentas de FB de mi amigo y las mías. Nos está chantajeando. ¿Que debería hacer en esta situación?

¿Cuál es el mejor software de seguridad integral (antivirus, troyano, firewall, antiphishing) para Mac OS X Lion en 2012?

¿Cómo comienzan las personas a crear virus informáticos como Stuxnet?