Здравствуйте. В общем, сижу я на одном сайте со своего реального ip, пользуюсь сайтом. Вдруг нахожу уязвимость на этом сайте (не очень серьезную), если вкратце: уязвимость позволяла просматривать скрытые данные пользователей (например, адрес электронной почты). Уязвимость я эксплуатировал на своем втором аккаунте. В итоге, решил сообщить об этой уязвимости владельцам сайта по почте. Все ок, приходит ответ: "Спасибо вам! Бла-бла-бла"
В итоге уязвимость исправили. Позже я нашел еще одну уязвимость, которая позволяла менять элементы на веб странице (что то типо xss, но без возможности инъекции js кода). В итоге, опять сообщил им, они ответили: "Спасибо вам! Бла-бла-бла! Мы бы хотели сделать вам подарок от нашей компании - фирменную ... (вещь, не буду называть какую) бла-бла-бла, не могли бы вы указать адрес?".
И вот думаю: "а стоит ли сообщать им адрес? Вроде как на сайте сижу с реального ip, если бы захотели наказать, наказали бы уже". Вроде как уязвимости в злых целях не эксплуатировал, а просто нашел и сообщил им. Будет ли за это какая либо ответственность? Если да, то насколько трудно доказать злой умысел (которого и не было)?
Не будет.
Разве что они связали второй аккаунт с первым, но вряд ли, особенно если это какая-нибудь онлайн игра, где по традиции разрабам пофиг на читеров.
Больше похоже на желание отблагодарить. Ну и простимулировать искать уязвимости дальше.
Вы должны были нанести приличный ущерб, чтобы у них появилось желание вас наказать.
Нет, это не онлайн игра, а довольно крупный сайт с посещением более 350.000 человек в день. Просто первый раз сталкиваюсь с подарком от компании, немного пугает им предоставлять свой реальный адрес
sjsjshzjsjzh, дело в том что есть такое целое направление как Bug Bounty когда организации стимулируют специалистов искать уязвимости в из продуктах и поощряют. Это абсолютно нормально
sjsjshzjsjzh, это не обязательно же) некоторые организации делают это на добровольной основе и даже не знают о данном ресурсе. вы можете предложить им другую альтернативу, вроде отправки на в почтовое отделение "до востребования"
Нужно всегда помнить поговорку: "Ни одно доброе дело не останется безнаказанным."
По сабжу - лучше не связываться, ибо есть большой риск, что на Вас попытаются повесить всех собак (сбои в работе сайта, взломы другими хацкерами, да и просто некомпетентность обслуживающих лиц). Конечно в конечном счёте Вы наверняка будете оправданы нашим гуманным судом. Но быть под следствием, пережить изъятие оргтехники как вещдоков и друге прелести - это Вам надо?
На будущее - при обнаружении бага и желании заработать, предлагайте заключение письменного договора на "проверку безопасности". Только в этом случае Вы обезопасите себя от дураков. Но это не точно.
Не знаю даже. Просто админам этого сайта давно помогаю. Находил опечатки, нарушения в комментариях (например, человек в комментах матом всех покрыл) - сообщал им по почте, они благодарили за помощь. А насчет "повесить всех собак" - ну так для этого нужны хотя бы минимальные доказательства? Что они предоставят? Логи, где видно что какой то хакер ломает их сайт? Так как они свяжут мой ip и ip хакера?
Ну и ко всему остальному, для наказания должен быть нанесен хотя бы минимальный ущерб компании. А какой ущерб я нанес когда тестировал уязвимость на СВОЕМ втором аккаунте?
Конечно в конечном счёте Вы наверняка будете оправданы нашим гуманным судом.
С чего это, если процент оправдательных приговоров в этой стране достиг 0.23% в этом году (и с каждым годом он всё падает и падает, и применяется наверняка только в отношении особо влиятельных граждан, к которым автор вряд ли относится)
Это примерно то же, что вот идешь ты по улице и находишь пистолет/пакетик дури/кошелек с сотней тысяч баксов. Что делать в таком случае? Да просто пройти мимо.
Почему? Да потому что если не заключали договор на тестирование сайта на ломоустойчивость или поиск ошибок - могут пришить УК 272. Могут конечно и не пришить, но все равно нервы помотают изрядно.
Подскажите, как мое деяние подходит под 272 ук рф?
1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации
Уничтожения информации не было, модификации тоже, копирование... ну с помощью уязвимости я смог получить почтовый адрес своего второго аккаунта (который принадлежит мне)
CityCat4, не согласен с вами.
Думать в таком ключе надо до отправки сообщения об уязвимости. А после этого уже смысл шифроваться? Тем более с домашнего IP?
Я так находил в одном сайте, но сообщал о дыре публично. Был соблазн как-то использовать, и собрать базу по всем пользователям сайта, но лень победила. В итоге, после сообщения каждый мог убедиться в наличии проблемы, и через 1-2 дня её исправили разработчики. Несколько лет прошло - никого не преследовали. Но и не наградили.
P.S. не подумайте, что там была критичная информация, только email'ы
Средний
