¿Cómo podría convencer a una empresa para que me recompense por encontrar un error crítico?

Gracias por el A2A … Sé que llego tarde y me disculpo por eso. Pero eso dijo.

No creo que haya una respuesta mágica en términos de cómo puedes convencer a una empresa para que te pague. Hay una variedad de razones por las cuales las compañías no pagan, que parecen incluir:

No se encuentran en una situación financiera que permita el pago de recompensas.
La compañía no cree que sea lo suficientemente grave.
La empresa no comprende las implicaciones.

Utilizándolos como referencia, un par de cosas me vienen a la mente al estar en ambos lados de la búsqueda de vulnerabilidades y haber sido un programador para aplicaciones web.

Si la empresa no tiene el dinero, realmente no hay nada que pueda hacer. Esperemos que tengan métodos alternativos para mostrar aprecio como un salón de la fama o botín. Pero al final del día, no pienses en esto como una pérdida. Si bien no obtuviste dinero, las recompensas de errores se tratan realmente de habilidad y observación. En este caso, encontró un error y puede usar / aplicar ese conocimiento para buscar errores en plataformas que sí pagan, como Vulnerability Coordination y Bug Bounty Platform o https://bugcrowd.com
La compañía no cree que sea lo suficientemente grave o no comprende las implicaciones de alguna manera. Ambos requieren que usted, como sombrero blanco, explique cómo esto podría explotarse con un lenguaje claro y fácil de entender y una prueba de concepto válida (fotos y videos de ayuda). Una vez que haga eso, la compañía lo investigará y tendrá información sobre su propio back-end. Aquí hay una división entre pensar que no es lo suficientemente grave y no entender las implicaciones.
Es posible aquí, donde encontró un problema para que una licencia nunca caduque, que esto se recoja en un informe mensual que analice las fechas de caducidad de los usuarios: cuántos caducaron el mes pasado, este mes, etc. Trabajé en un sistema como este y rutinariamente verificamos las fechas de caducidad de los errores y los abordamos cuando los encontramos. Creo que esto sería similar. Entonces, si bien puede sentir que esto fue grave, la compañía tiene su propia visión de su código, controles y equilibrios y puede sentir que capturarán esto tarde o temprano. Alternativamente, pueden sentir que perder ingresos de un cliente no vale tanto y que encontrarían esto si realmente se comenzara a abusar de él.
Ahora, cuando una empresa no comprende las implicaciones, esto requiere que usted les ayude a comprender. No creo que esta sea tu situación. La mayoría de las veces, en mi experiencia al leer e interactuar con las empresas, preguntarán por qué esto es un problema de seguridad. Los errores graves implican la capacidad de hacerse cargo de las cuentas, ejecutar códigos / comandos, encontrar información confidencial, etc., todo sin la interacción del usuario. No parece que tu error se encuentre dentro de esta categoría.

Al final del día, creo que debería estar contento con el hecho de haber encontrado esto, tomar lo que la compañía le ofrece (porque no tienen que ofrecer nada) y comenzar a buscar errores similares con compañías que han establecido programas. .

Pete

Related Content

Cómo eliminar el virus NGINX de mi Mac

¿Cómo se puede ejecutar código remoto a través de Bash? ¿Cómo puedo aprovechar la vulnerabilidad de ejecución remota de código de Bash?

¿Cuáles son los medios de aprendizaje y los caminos profesionales para la seguridad cibernética?

¿Cuál es un método garantizado para saber si un archivo PDF está libre de malware o para verlo de manera segura con gran confianza?

¿Cuál es la mejor manera de obtener una buena primera pasantía / trabajo con un certificado de seguridad cibernética de un colegio comunitario sin experiencia previa?

¿Cuáles son las raíces de la guerra cibernética?

¿En qué áreas podemos aprovechar los proyectos IOT con minería de datos?

Yo no soy un abogado. Lo siguiente no pretende ser un consejo legal, y está escrito desde un punto de vista estadounidense.

Dicho esto, debe buscar uno, si es posible, y entregar todos los correos electrónicos / chats / etc. que tuvo con la empresa en cuestión a su abogado. La forma en que se trata a las personas que encuentran errores depende de la vergüenza de la empresa y de si es un año electoral. Por cada Reginaldo Silva, que se llevó a casa un buen cheque de Facebook, hay un Andrew Auernheimer, que obtuvo tiempo en la cárcel.

Si estoy leyendo lo anterior correctamente, les dijiste del error y luego lo detuviste porque querías obtener dinero de ellos … Espero que esto no sea lo que les dijiste.

Es poco probable que la generación de claves de licencia sea un exploit buscado por terceros. La cantidad de dinero que podría obtener generando licencias falsas para las personas debajo de la mesa sería un maní en comparación con los alimentos de los abogados.

Mi sugerencia sería

para entregar un ejemplo del exploit a la compañía por buena voluntad, o
alejarse de la situación del agujero silbando inocentemente.

Tener un agradecimiento en el sitio web de la compañía es lo primero que aparece cuando su nombre es [nombre de la compañía sinónimo de búsqueda utilizada como verbo]. Eso te da más credibilidad más adelante cuando estás buscando recompensas de errores. Dejar el tema solo y alejarse ahorra la molestia de los honorarios de los abogados. Le has hecho saber a la empresa que hay una falla en la generación de claves de licencia, y siempre y cuando no hayas recitado extras para amigos y puedas resistir el impulso de gritar “¡Sí, ese fui yo!” requieren más esfuerzo de tu parte.

Evan Hughes

Busque la recompensa de errores en Google para la empresa, por ejemplo: Facebook Bug Bounty

Siempre tiene grandes compañías que tienen un esquema de recompensas por errores, puede informar allí y lo analizarán, si es un error válido, le pagan :).

Evan Hughes

En mi opinión, no vende esto a la empresa afectada. Ventas, 101 – vender al dolor. A menos que se trate de un error público que le está costando mucho dinero a la empresa, la empresa no tendrá incentivos para compensarlo por su genio. En cambio, lo que debe hacer es ver si puede vender la información sobre el error a las empresas de seguridad o monitoreo. Se mantienen al tanto de este tipo de cosas y venden alertas y soluciones a corporaciones como la compañía en cuestión. Oye, la compañía de seguridad / monitoreo puede incluso ofrecerte un trabajo. 🙂

Pavan Rao TK

Si aún no le ha contado el error a la compañía, entonces mi compañía de seguridad puede estar interesada en comprarlo dependiendo de la gravedad, cómo se activó, la compañía a la que afecta, si hay más que se pueda hacer con él, etc. Puede contactarme en quora o en [correo electrónico protegido] .

Evan Hughes

More Interesting

Si un país lanza un 'ataque cibernético' en los EE. UU. O Japón, ¿por qué no simplemente los desconectan de la red troncal?

¿Por qué se llama relleno de credenciales de esta manera?

¿Cómo afectan los virus informáticos a los teclados?

¿Cuál es tu opinión sobre Python violento?

¿Puede detener un ataque DDoS encadenando en serie múltiples enrutadores o firewalls de hardware?

¿El hecho de que Microsoft distribuya un antivirus incorporado gratuito con sus sistemas operativos representa una amenaza para las compañías de software antivirus?

¿Hay trabajos para estudiantes de primer año en el área de pruebas de penetración? En caso afirmativo, ¿cuál es el criterio de elegibilidad para la selección?

¿Cómo la incrustación de la clave pública en un certificado digital la protege de los imitadores?

¿Las contraseñas asociadas con las cuentas en línea son visibles para el propietario o los empleados del sitio web o están cifradas y protegidas de la vista?

¿La vulnerabilidad SS7 hace que todos los sistemas con autenticación basada en SMS, recuperación de contraseña o 2FA sean inherentemente inseguros?