Почему не платят за уязвимости, что я делаю не так?
Приветствую,
Счетения обстоятельств привели меня к тому, что я решил изменить вид деятельности и теперь она связана с поиском уязвимостей на разных солидных сайтах.
После найденной серьезной уязвимости почти всегда пишу админам/владельцам и т.д, чаще стараюсь выходить на прямой контакт сразу чтобы общаться с ответственным, в итоге только 1 из примерно 70 компаний платит "спасибо" хоть что-то.
И я вот задумался, что я делаю не так ?
За последний месяц примеры:
#1 оф.сайт банка связался в онлайн чате, написал в саппорт, дырку с доступом к данным MySQL залатали, ничего не ответили после этого.
// Доступна была база клиентов, кредитные запросы людей, дальше копать не стал
#2 Магазин детских товаров, в базе (более 50тыс заказов, база клиентов 400 тыс), выплатили 50$
// Шикарная база клиентов
#3 Cloud система бухгалтерии
// Клиентов около 70 тыс. Данные всех пользователей, доступны логины и пароли. Выплатили 50$
Да черт подери, что я делаю не так ? Эти базы клиентов имеют огромную ценность для конкурентов и могут нанести урон имиджу компании. Но я поступаю по совести и правильно.
Пума дело говорит - Хомяков постоянно ищет спецов.
А так есть ещё вот такой сайт: https://hackerone.com/ - там куча разных компаний заказывают пентесты и платят.
