@sjsjshzjsjzh

Наказание за поиск уязвимостей?

Здравствуйте. В общем, сижу я на одном сайте со своего реального ip, пользуюсь сайтом. Вдруг нахожу уязвимость на этом сайте (не очень серьезную), если вкратце: уязвимость позволяла просматривать скрытые данные пользователей (например, адрес электронной почты). Уязвимость я эксплуатировал на своем втором аккаунте. В итоге, решил сообщить об этой уязвимости владельцам сайта по почте. Все ок, приходит ответ: "Спасибо вам! Бла-бла-бла"

В итоге уязвимость исправили. Позже я нашел еще одну уязвимость, которая позволяла менять элементы на веб странице (что то типо xss, но без возможности инъекции js кода). В итоге, опять сообщил им, они ответили: "Спасибо вам! Бла-бла-бла! Мы бы хотели сделать вам подарок от нашей компании - фирменную ... (вещь, не буду называть какую) бла-бла-бла, не могли бы вы указать адрес?".

И вот думаю: "а стоит ли сообщать им адрес? Вроде как на сайте сижу с реального ip, если бы захотели наказать, наказали бы уже". Вроде как уязвимости в злых целях не эксплуатировал, а просто нашел и сообщил им. Будет ли за это какая либо ответственность? Если да, то насколько трудно доказать злой умысел (которого и не было)?
  • Вопрос задан
  • 219 просмотров
Пригласить эксперта
Ответы на вопрос 5
dollar
@dollar
Не будет.
Разве что они связали второй аккаунт с первым, но вряд ли, особенно если это какая-нибудь онлайн игра, где по традиции разрабам пофиг на читеров.

Больше похоже на желание отблагодарить. Ну и простимулировать искать уязвимости дальше.

Вы должны были нанести приличный ущерб, чтобы у них появилось желание вас наказать.
Ответ написан
Jump
@Jump
Системный администратор со стажем.
Наказание за поиск уязвимостей?
Нет такого.
Просто зачастую поиск уязвимостей практически не отличим от попыток взлома.
Ответ написан
BasiC2k
@BasiC2k
Нужно всегда помнить поговорку: "Ни одно доброе дело не останется безнаказанным."

По сабжу - лучше не связываться, ибо есть большой риск, что на Вас попытаются повесить всех собак (сбои в работе сайта, взломы другими хацкерами, да и просто некомпетентность обслуживающих лиц). Конечно в конечном счёте Вы наверняка будете оправданы нашим гуманным судом. Но быть под следствием, пережить изъятие оргтехники как вещдоков и друге прелести - это Вам надо?
На будущее - при обнаружении бага и желании заработать, предлагайте заключение письменного договора на "проверку безопасности". Только в этом случае Вы обезопасите себя от дураков. Но это не точно.
Ответ написан
CityCat4
@CityCat4
У тролля даже мозги - и то каменные!
Я бы не стал.

Это примерно то же, что вот идешь ты по улице и находишь пистолет/пакетик дури/кошелек с сотней тысяч баксов. Что делать в таком случае? Да просто пройти мимо.

Почему? Да потому что если не заключали договор на тестирование сайта на ломоустойчивость или поиск ошибок - могут пришить УК 272. Могут конечно и не пришить, но все равно нервы помотают изрядно.
Ответ написан
Я так находил в одном сайте, но сообщал о дыре публично. Был соблазн как-то использовать, и собрать базу по всем пользователям сайта, но лень победила. В итоге, после сообщения каждый мог убедиться в наличии проблемы, и через 1-2 дня её исправили разработчики. Несколько лет прошло - никого не преследовали. Но и не наградили.
P.S. не подумайте, что там была критичная информация, только email'ы
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Chenii Санкт-Петербург
от 1 500 до 3 500 $
Платформа НТИ Москва
от 160 000 до 190 000 ₽
RBS Payments Москва
До 150 000 ₽
20 февр. 2020, в 15:56
2000 руб./за проект
20 февр. 2020, в 15:45
6000 руб./за проект
20 февр. 2020, в 15:35
5000 руб./за проект