¿Debo cobrar a un sitio web por encontrar un hack?

No es ético exigir una recompensa por revelar una vulnerabilidad, si el objetivo ya no ofrece una.

Implica una amenaza de hacerles algo malo si no te pagan. Incluso si nunca hicieras tal cosa, probablemente no te creerán. Dependiendo de dónde se encuentre en el mundo, también puede haber consecuencias legales.

Es mejor si primero entrega la información y luego pregunta si hay una recompensa. De esa manera no hay amenaza para ellos. Por supuesto, no se le garantiza ninguna recompensa, pero exigir una no es probable que tampoco le brinde nada, por lo que realmente no está perdiendo mucho.

Si desea realizar una investigación de seguridad seria, comience a construir una reputación ética. Eso vale más que dinero.

¿Qué quieres decir con “encontrar un truco”? Si ha encontrado una falla de seguridad genuina y puede recuperar los datos del usuario de un sitio web , por el bien de los usuarios, repórtelo al sitio web. Si desea negociar una recompensa financiera, esa es su prerrogativa.

Ah, y dos cosas:

1. Si el sitio web es un negocio pequeño, de estilo “Mom n ‘Pop”, muchos considerarían inmoral y victimizador tener un defecto de seguridad sobre su cabeza.
2. Si el sitio web es una compañía tecnológica, entonces quizás no solo le ofrecerán una recompensa, sino también un trabajo 🙂

Informar una vulnerabilidad que acaba de explotar con éxito puede resultar en una violación. Estamos viviendo en un mundo complicado con muchos tipos de personas. No sabe exactamente si después de informar al web master / administrador sospecha que usted hace algo mal en su sistema e informa a su jefe. Sin un fideicomiso, podría ser llevado a la cárcel :). Sí, a veces pensamos que hacemos lo correcto, como informar a un administrador, pero él no lo cree así.

No cobre por un centavo. En cambio, encuentre la manera de informar de manera adecuada y legal. Puede consultar aquí Una guía para cualquier persona nueva en los informes de vulnerabilidad

¿El juego educativo proviene de una organización sin fines de lucro? o se les paga?

La lógica simple dice que si se les paga, de hecho, lo que están pidiendo es su trabajo de forma gratuita, para que se beneficien.

Si no se les paga por su software, deberían ofrecer por adelantado algún servicio “en especie” para compensar el uso de sus habilidades.

Cuando estaba en la escuela secundaria en los años 70, Bill Gates registró tantos errores en su conexión de mainframe de $ 50 por hora de la escuela, que no se le cobró la tarifa de tiempo de la escuela.

No intentes aprovechar el hecho de que podrías distribuir el hack a otros. Eso es tan falso como pedirle que renuncie a su trabajo sin compensación.

El beneficio educativo de usar juegos en las escuelas es desarrollar habilidades lógicas de resolución de problemas. Lógicamente, ¿cuál es la diferencia entre su situación y la de Bill Gates? Nunca reveló ninguno de sus secretos comerciales y tú tampoco deberías hacerlo.

La compañía de juegos debería haberte ofrecido una compensación por adelantado. Como no lo hicieron, no dude en preguntar.

Has detectado una vulnerabilidad en el sistema de la compañía, que honestamente es una información valiosa. Las empresas otorgan miles de dólares a las personas que detectan fallas / errores en un sistema de tecnología, consulte Bugcrowd para obtener una referencia.

Ahora, en este caso específico, realmente dependerá de usted juzgar la situación, como la conoce mejor. La pregunta es realmente una de ética empresarial más que nada.

La compañía podría ser una pequeña empresa, o una gran corporación. En cualquier caso, debe estar preparado para defenderse, legalmente si es necesario, en caso de que no estén dispuestos a pagar.

Dependiendo de la gravedad del problema que haya encontrado, muchas compañías ofrecen un pago por errores. Facebook tiene un programa respetable como este y puede pagar bastante bien si encuentra el tipo correcto de problema. Se sabe que algunas otras compañías también ofrecen trabajos para cosas como esa.

Sin embargo, no lo escondería de la compañía si no le pagan o lo usan como chantaje. Puede meterse en problemas de esa manera.