@3g0lex

Как сообщить огромной компании о наличии уязвимости?

Есть уязвимость очень похожая на:
"Изменять api-запросы к amazon таким образом, чтобы товары доставлялись бесплатно. Запросы к api менять даже не обязательно, можно пошаманить с GUI".

Есть proof of concept, уязвимость заэксплойтена на 7$ в исследовательских целях.

У компании есть программа bug bounty на hackerone.com, но публиковать там свой отчет я не могу, ибо только что зарегистрировался и не обладаю достаточным рейтингом для отправки своего отчета в эту компанию.

Общение со службой поддержки через электронную почту оказалось удивительным сюрпризом, ибо общается со мной бот :)

Сходил в Питерский офис этой компании, сути не рассказал, сказал что просто так можно делать. Все вместе посмеялись над тем, какой я бородатый. Обещали передать информацию в Московский офис, а они типа не при делах. Никто не пишет, не звонит.

Думаю, как поступить дальше.

Просто в ярости постить не буду из уважения к работе коллег.

Лучшее, что приходит на ум - отправить DHLом письмо, с просьбой связаться в головной офис компании в Калифорнии. По идее, должны ответить.
  • Вопрос задан
  • 456 просмотров
Решения вопроса 1
@3g0lex Автор вопроса
quora.com/How-can-I-disclose-huge-security...

Bill Woodcock, Executive Director at Packet Clearing House (1994-present)

Responsible disclosure dictates that you inform the company (in writing, cc’d to their general counsel and compliance manager, being very clear that you’ve presented all the information you possess, that you’re not asking them to give you anything, that you did not come by the information illicitly, and that the communication is the last and only involvement you want to have in their problem) and simultaneously inform whatever CERT you’re a constituent of. Make sure the company and the CERT are both aware that you’ve informed each other.

At that point, it’s up to them to do the right thing, and the CERT to hold them to it and move along to public disclosure on a reasonable timeframe.

Yes, all CERTs talk to each other. If you’re unclear on any of the above, you’re welcome to contact me directly, and I can help you raise the ticket with your local CERT, since they’ll be my colleagues.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 4
Jump
@Jump
Системный администратор со стажем.
Как сообщить огромной компании о наличии уязвимости?
Судя по вашему рассказу, вы уже сообщили.
Непонятно в чем вопрос.
Ответ написан
Обратитесь в какой-нибудь из соц. сетей с добавлением хештега компании и указанием вашего логина на h1 с просьбой временно снизить уровень signal или заинвайтить вас в программу, чтобы вы могли принять в ней участие.

Если компания из Mail.Ru Group - напишите логин/координаты для связи мне, я передам, или можете зарепортить в https://hackerone.com/mailru с описанием ситуации, в этой баг баунти программе нет ограничений по сигналу.
Ответ написан
Комментировать
sim3x
@sim3x
Забить
Найти тусовку ксакепов - попросить их запостить репорт от их имени

Относиться к жизни проще - всех багов не исправить, а бегать так по всем компаниям - времени не хватит
Ответ написан
Комментировать
Konstantin18ko
@Konstantin18ko
Стоматолог
Решение проблемы:
1. Снимаем сервер в стране, где всем пофиг что вы на нем делаете и проводим атаку с применением. Это урок для компании (потеряют 100'000 прибыли их косяк), но к вам начнутся претензии.
2. Атакуем по уязвимости так, чтоб они этого не ощущали, но первый же аудит это выявит. Так сказать получите вознаграждение, путем использования уязвимости.
3. Офис Мск? Можно попробовать.
4. Если 3 п. не получится. Вброс на Хабре и прочих ресурсах.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы