Почему не платят за уязвимости, что я делаю не так?

Question

[Mouvdy]

Приветствую,

Счетения обстоятельств привели меня к тому, что я решил изменить вид деятельности и теперь она связана с поиском уязвимостей на разных солидных сайтах.

После найденной серьезной уязвимости почти всегда пишу админам/владельцам и т.д, чаще стараюсь выходить на прямой контакт сразу чтобы общаться с ответственным, в итоге только 1 из примерно 70 компаний платит "спасибо" хоть что-то.

И я вот задумался, что я делаю не так ?

За последний месяц примеры:
#1 оф.сайт банка связался в онлайн чате, написал в саппорт, дырку с доступом к данным MySQL залатали, ничего не ответили после этого.
// Доступна была база клиентов, кредитные запросы людей, дальше копать не стал

#2 Магазин детских товаров, в базе (более 50тыс заказов, база клиентов 400 тыс), выплатили 50$
// Шикарная база клиентов

#3 Cloud система бухгалтерии
// Клиентов около 70 тыс. Данные всех пользователей, доступны логины и пароли. Выплатили 50$

Да черт подери, что я делаю не так ? Эти базы клиентов имеют огромную ценность для конкурентов и могут нанести урон имиджу компании. Но я поступаю по совести и правильно.

Буду рад дельным советам

Comments

[Оптимус Пьян]

А как с вами можно связаться?

Answer 1

[Daemon23RUS]

После найденной серьезной уязвимости почти всегда пишу админам/владельцам и т.д, чаще стараюсь выходить на прямой контакт сразу чтобы общаться с ответственным, в итоге только 1 из примерно 70 компаний платит "спасибо" хоть что-то.

ИМХО здесь дело в умении вести переговоры с владельцем бизнеса. У Вас получается найти уязвимость, но не получается донести до владельца ценность Вашей находки. Нет предела совершенствованию, есть куда расти...

Answer 2

[Оптимус Пьян]

Сначала договаривайтесь о поиске уязвимостей а потом ищите, можно договор заключить.

продавал так сказать на развес в зависимости столько весил сайт :)

Потому что профессионалы этого дела сами качают сайты, у них парсеры настроены, сервера для этого есть.

Answer 3

[Пума Тайланд]

ОООО сходите поработайте на хомякова там и сайты покрупнее и платят получше
sakurity.com
Он всегда нанимает пентестеров

Comments

[Пума Тайланд]

если устроитесь с вас пентест )

Answer 4

[Евгений Лаврентьев]

Находить уязвимость можно и без договора, после найденной уязвимости вы можете сообщить но не раскрывая суть ошибки. Кстати был как-то не помню где там из лабы касперсокого ищут себе потенциальных клиентов :)

Самое главное при нахождение не пользоваться полученными данными и не изменять систему, а то будет уже уголовка.

Comments

[Mouvdy]

У меня кейс просто особый, я не конкретно определенный сайт тестирую, а написал сканер уязвимостей и им сканирую весь интернет или сайты определенной тематики.

[Евгений Лаврентьев]

Mouvdy: хороший сканер )

Answer 5

[c0de]

Стать blackhat? Ну или сначала договариваться, а потом искать уязвимости? Или искать уязвимости там где за них платят?

Comments

[Mouvdy]

Я столкнулся с тем, что всем тупо на***ть на утечку данных и я в отчаянии и сейчас я говорю не про какой то мелкий интернет магазин с SQL уязвимостью, а про довольно крупные компании, сайты газеты издвательства как РУ так и не РУ

[c0de]

Владимир, создай страницу, сайт, напиши расценки.
Сначала договорись, а потом ищи.
А если и нашёл продавай, хотя бы мне... (дам больше 50$)
Или шантажируй, я нашёл уязвимость. За определённую плату помогу её устранить и найти другие. Можешь отправлять статистику составлять отчёты... Нужно чтобы всё выглядело официально.

[Mouvdy]

Интересует свежая база клиентов покупателей Nespresso ?)

[Mouvdy]

c0de: На Nulled была тема где я пробовал продать 17к рипов сайтов на выбор на любую тематику, продавал так сказать на развес в зависимости столько весил сайт :) К сожалению всего 2 покупателя было ))

Answer 6

[asd111]

Пума дело говорит - Хомяков постоянно ищет спецов.
А так есть ещё вот такой сайт: https://hackerone.com/ - там куча разных компаний заказывают пентесты и платят.