Gracias por el A2A … Sé que llego tarde y me disculpo por eso. Pero eso dijo.
No creo que haya una respuesta mágica en términos de cómo puedes convencer a una empresa para que te pague. Hay una variedad de razones por las cuales las compañías no pagan, que parecen incluir:
- No se encuentran en una situación financiera que permita el pago de recompensas.
- La compañía no cree que sea lo suficientemente grave.
- La empresa no comprende las implicaciones.
Utilizándolos como referencia, un par de cosas me vienen a la mente al estar en ambos lados de la búsqueda de vulnerabilidades y haber sido un programador para aplicaciones web.
- Meteor (plataforma Javascript): ¿Hay alguna empresa que pueda pagar para intentar hackear mi sitio web?
- Cómo prevenir un ataque de lanza phishing
- ¿Alguien puede enumerar hackeos de teléfonos móviles?
- Qué tipo de cosas deberían tener los departamentos de seguridad de la información. poner en un tablero que muestran a la administración de negocios que no es de TI?
- ¿Cuál es una manera de descifrar las contraseñas de Gmail?
- Si la empresa no tiene el dinero, realmente no hay nada que pueda hacer. Esperemos que tengan métodos alternativos para mostrar aprecio como un salón de la fama o botín. Pero al final del día, no pienses en esto como una pérdida. Si bien no obtuviste dinero, las recompensas de errores se tratan realmente de habilidad y observación. En este caso, encontró un error y puede usar / aplicar ese conocimiento para buscar errores en plataformas que sí pagan, como Vulnerability Coordination y Bug Bounty Platform o https://bugcrowd.com
- La compañía no cree que sea lo suficientemente grave o no comprende las implicaciones de alguna manera. Ambos requieren que usted, como sombrero blanco, explique cómo esto podría explotarse con un lenguaje claro y fácil de entender y una prueba de concepto válida (fotos y videos de ayuda). Una vez que haga eso, la compañía lo investigará y tendrá información sobre su propio back-end. Aquí hay una división entre pensar que no es lo suficientemente grave y no entender las implicaciones.
Es posible aquí, donde encontró un problema para que una licencia nunca caduque, que esto se recoja en un informe mensual que analice las fechas de caducidad de los usuarios: cuántos caducaron el mes pasado, este mes, etc. Trabajé en un sistema como este y rutinariamente verificamos las fechas de caducidad de los errores y los abordamos cuando los encontramos. Creo que esto sería similar. Entonces, si bien puede sentir que esto fue grave, la compañía tiene su propia visión de su código, controles y equilibrios y puede sentir que capturarán esto tarde o temprano. Alternativamente, pueden sentir que perder ingresos de un cliente no vale tanto y que encontrarían esto si realmente se comenzara a abusar de él.
- Ahora, cuando una empresa no comprende las implicaciones, esto requiere que usted les ayude a comprender. No creo que esta sea tu situación. La mayoría de las veces, en mi experiencia al leer e interactuar con las empresas, preguntarán por qué esto es un problema de seguridad. Los errores graves implican la capacidad de hacerse cargo de las cuentas, ejecutar códigos / comandos, encontrar información confidencial, etc., todo sin la interacción del usuario. No parece que tu error se encuentre dentro de esta categoría.
Al final del día, creo que debería estar contento con el hecho de haber encontrado esto, tomar lo que la compañía le ofrece (porque no tienen que ofrecer nada) y comenzar a buscar errores similares con compañías que han establecido programas. .
Pete