Задать вопрос
NYMEZIDE
@NYMEZIDE
резюме - ivanfilatov.ru

Срок на устранение уязвимости — через сколько можно публиковать?

Дано: серьезная уязвимость у популярной компании. Уязвимость при желании может навредить финансово (причем очень сильно) и репутационно (деньги граждан, клиентов этой компании).

Об уязвимости сообщили этой компании как положено и по телефону и письмом, расписали всю схему. Получили ответ - приняли к сведению.
Прошло 2 недели. Решили поинтересоваться - как дела, закрыли или нет. Сообщили что результат закрытия или не закрытия они не сообщат. А также существует ли она на данный момент - тоже не хотят сообщать.

Пробовать воспроизвести ее - как бы уголовно наказуемо, а тратить свои деньги не хочется на проверки.

Вопрос: какие вообще сроки по нашему УК РФ на то, чтобы опубликовать ее на информационном ресурсе, чтобы простимулировать ее устранение? Сколько нужно выждать времени?
Подставлять себя не хочется, если вдруг все побегут ее проверять. Это будет удар! В этом не заинтересованы тоже.
  • Вопрос задан
  • 399 просмотров
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 5
Jump
@Jump
Системный администратор со стажем.
Никаких сроков нет по законодательству.
С чего бы им быть?

Вы нашли уязвимость, сообщили.
Дальше то чего вы хотите?
Компания приняла к сведению.
Чего еще надо?

чтобы простимулировать ее устранение?
Как вы можете простимулировать ее устранение?
Почему вы вообще решили что ее будут устранять?

Чисто по человечески - если вы сообщите мне что у меня в офисе не закрыто окно, и через него может залезть злоумышленник - я скажу спасибо.
Если вы потом будете ходить и интересоваться - почему оно до сих пор не закрыто, то я очень невежливо скажу что это вообще не ваше дело.

По закону знать такую информацию не запрещено, делиться ей тоже не запрещено.
Хотя если вы будете сами пытаться залезть в открытое окно, или будете кого-то подстрекать к этому, то это уже наказуемое деяние.
Ответ написан
чисто юридически = любая публикация вами будет оценена как подстрекательство вне зависимости от срока
Ответ написан
sim3x
@sim3x
Забить
Не работать там, где живешь без прикрытия тов майора
Не работать если компания не имеет багбаунти
Ответ написан
Комментировать
опубликуйте предварительную информацию без раскрытия деталей уязвимости - классификацию, потенциальные риски для клиентов, timeline взаимодействия.
Ответ написан
@inkvizitor68sl
Linux-сисадмин с 8 летним стажем.
В УК РФ про это всё есть, наказание приличное, если они в суд пойдут.
Просто забейте и всё.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы