Срок на устранение уязвимости — через сколько можно публиковать?

Question

[Иван Филатов]

Дано: серьезная уязвимость у популярной компании. Уязвимость при желании может навредить финансово (причем очень сильно) и репутационно (деньги граждан, клиентов этой компании).

Об уязвимости сообщили этой компании как положено и по телефону и письмом, расписали всю схему. Получили ответ - приняли к сведению.
Прошло 2 недели. Решили поинтересоваться - как дела, закрыли или нет. Сообщили что результат закрытия или не закрытия они не сообщат. А также существует ли она на данный момент - тоже не хотят сообщать.

Пробовать воспроизвести ее - как бы уголовно наказуемо, а тратить свои деньги не хочется на проверки.

Вопрос: какие вообще сроки по нашему УК РФ на то, чтобы опубликовать ее на информационном ресурсе, чтобы простимулировать ее устранение? Сколько нужно выждать времени?
Подставлять себя не хочется, если вдруг все побегут ее проверять. Это будет удар! В этом не заинтересованы тоже.

Answer 1

[АртемЪ]

Никаких сроков нет по законодательству.
С чего бы им быть?

Вы нашли уязвимость, сообщили.
Дальше то чего вы хотите?
Компания приняла к сведению.
Чего еще надо?

чтобы простимулировать ее устранение?

Как вы можете простимулировать ее устранение?
Почему вы вообще решили что ее будут устранять?

Чисто по человечески - если вы сообщите мне что у меня в офисе не закрыто окно, и через него может залезть злоумышленник - я скажу спасибо.
Если вы потом будете ходить и интересоваться - почему оно до сих пор не закрыто, то я очень невежливо скажу что это вообще не ваше дело.

По закону знать такую информацию не запрещено, делиться ей тоже не запрещено.
Хотя если вы будете сами пытаться залезть в открытое окно, или будете кого-то подстрекать к этому, то это уже наказуемое деяние.

Comments

[Иван Филатов]

Просто тут не все так просто )

Тут не окно не закрыто, тут можно списывать деньги в любых количествах. Такое сообщить - это будет эффект страшный. И последствия.

Начнут копать - выяснят что оказывается массовому взлому предшествовала статья на Хабре - как данный взлом повторить.

Вот и хочется чисто по юридически узнать - насколько безопасно. Другие же публикуют после закрытия - что было. И повторить не смогут - закрыта она.
А тут компания не идет навстречу, кроме спасибо-досвидания ничего не получили от них.

[АртемЪ]

Иван Филатов: Сообщать или нет - это чисто ваше дело.
Может ли это вам повредить - зависит от ситуации, и от того как вы сообщили, и каким образом получили информацию.

А компания то с чего должна идти вам на встречу? Ей это зачем надо?
Скорее наоборот.

[Иван Филатов]

АртемЪ: уязвимость была получена путем совершения стандартной операции над денежными средствами которую предоставляет данная компания. целенаправленно никто не копал. когда поняли что получилось. проверили на друге, тоже клиент данной компании. другу сразу возместили ущерб.
затем написали в компанию и все расписали.

просто уязвимость не просто ошибка. там дыра.
при желании можно уехать в другую страну и абанкротить ее на всю катушку. но такой цели нет.
цель закрыть дыру. чтобы все спали спокойно. и компания и клиенты.

[sim3x]

"Если вы потом будете ходить и интересоваться - почему оно до сих пор не закрыто, то я очень невежливо скажу что это вообще не ваше дело."
Часто получается, что с тыльной стороны здания просто нет стены, а в том здании находится садик (куда ходит твой ребенок), и хранятся твои деньги, и живет любовница

Так что вроде как и дело твое, а поделать с етим ничего нельзя, кроме как опубликовав фотку здания

[АртемЪ]

Иван Филатов: Любое приложение или система уязвимы.
Есть и ошибки и дыры. Без этого никак.
Если о них знают, то при возможности и желании исправляют. Если не знают, или нет возможности или желания - оставляют как есть.
Это дело конкретного человека или бизнеса.

В большинстве случаев - пока вы или кто-то иной не использует эту уязвимость, всем на нее по барабану.

[АртемЪ]

sim3x: В том то и дело, что это не ваше дело.
Если это вас каким то образом ущемляет, вредит вам - предьявите иск тому кто это делает.
Если вам это не приносит вреда, но беспокоит - не пользуйтесь данным сервисом, не ходите в этот дом.

А как-то явно заставить собственника здания отремонтировать стену вы не можете.

[sim3x]

АртемЪ: проблема в том, что я не могу опубликовать фотку задней части дома без стены

[АртемЪ]

sim3x: Ну то что не можете, это уже ваша проблема.

Answer 2

[Михаил Лялин]

чисто юридически = любая публикация вами будет оценена как подстрекательство вне зависимости от срока

Comments

[Z-r]

> любая публикация вами будет оценена как подстрекательство вне зависимости от срока

Источник, пожалуйста.

Answer 3

[sim3x]

Забить
Не работать там, где живешь без прикрытия тов майора
Не работать если компания не имеет багбаунти

Answer 4

[Владимир Дубровин]

опубликуйте предварительную информацию без раскрытия деталей уязвимости - классификацию, потенциальные риски для клиентов, timeline взаимодействия.

Comments

[Иван Филатов]

там предварительная информация сразу раскроет всю суть. даже если не буду называть название компании достаточно будет перебрать несколько компаний той же направленности и получить желаемое.
там не требуется специфики какой-то. все на поверхности.
уязвимость могут воспроизвести другие клиенты, с большой долей вероятности. сами того не осознавая.
почему раньше не обнаружили - неизвестно. может кто-то забаговал новой версией продукта. и открыл такую дыру. неизвестно.

[Владимир Дубровин]

Иван Филатов: если вы не раскрываете уязвимость, а уведомляете клиентов о потенциальных рисках - к вам не может быть претензий.

[Иван Филатов]

Владимир Дубровин: я не юрист. и не знаю что может быть. поэтому и спрашиваю.
одно дело чисто по человечески - что у нас в стране не работает - и совсем другое - по закону - что тоже не особо работает - но хотя бы что-то.

Answer 5

[Влад Животнев]

В УК РФ про это всё есть, наказание приличное, если они в суд пойдут.
Просто забейте и всё.

Comments

[Иван Филатов]

а дадите ссылки на статью УК РФ. или может где почитать про это все можно

[Влад Животнев]

Иван Филатов: 272 УК РФ