Найдена опасная уязвимость в очень популярном мобильном приложении. Что делать?

Question

[Данил]

Совершенно случайно в бизнес-логике одного ну о-о-о-очень популярного мобильного приложения была обнаружена опасная уязвимость, позволяющая получить персональные данные и переписку любого его пользователя. На 100% проверено на себе (исключительно в исследовательских целях, с согласия пользователей). На проверку этой уязвимости и разработку алгоритма, а также рекомендаций по её устранению, ну конечно же, затрачено то самое драгоценное время.

Есть ли законные способы получить (не)скромное вознаграждение за проделаный труд и помощь популярному сервису, учитывая, что использование данной уязвимости "плохими парнями" и утечка данных пользователей может обойтись сервису 100.......000$ убытками?

Разумеется, я имею ввиду законные методы :)

Comments

[Keffer]

Есть ли законные способы получить вознаграждение за проделанный труд и помощь сервису,

Возможно, но не в этой стране. Так что выдыхай. Никто ничего тебе не даст, ни копейки.

[Anton Kuzmichev]

Ну, я подписался, а с вас статья на хабре после того, как они пофиксят, а вы получите вознаграждение и разрешение на публикацию. Или хотя бы упоминание, что это за аппка, если вдруг будут против публикации подробностей.

[Данил]

Anton Kuzmichev, попробую. Уже направил им прошение не убивать меня и разрешить провести манипуляции с их аппликухой. Хотя, честно сказать, немного волнительно :)

[Anton Kuzmichev]

Данил, надеюсь, это зарубежная контора, у них есть баунти и вообще они адекваты :)

[Данил]

Anton Kuzmichev, контора импортная, баунти -нет, мое обращение приняли к рассмотрению, ну что же, теперь буду ждать ответа.

[Данил]

alexvdem, очень надеюсь, что владельцы сервиса, которые еже..но отчитываются перед большими инвесторами за то, какой он у них "непобедимый", придерживаются солидарного с Вами мнения :)

в данном случае пугает не Родной УК, а перспектива получить "международный чек" за нарушение каких-нибудь правил (см. ответ CityCat4)

[АртемЪ]

Keffer, А при чем страна?

[АртемЪ]

John Smith, А что там с РЖД?

[Anton Kuzmichev]

АртемЪ, там с ними всё.

[Данил]

Anton Kuzmichev, ооочень знакомая итуация, но, есть большое но, вче же вы ссылаетесь ан частный случай. Я к тому что, здесь косяк иерархии внутри системы

[АртемЪ]

Anton Kuzmichev, Не понял в чем проблема, то?
Роутер незапароленный в сети торчит? Или чего? И при чем тут РЖД?

[Данил]

на самом деле проблема серьезная для (нас,) тестировщиков

[Данил]

ищи истину или сиди пока с"и"дится

Answer 1

[CityCat4]

и учечка данных пользователей может обойтись сервису 100.......000$-ми убытками

Может. Но (тебе) лучше, чтобы об этом сообщил кто-нибудь другой. Потому что скорее всего, тебя же и обвинят во взломе и хищении.
Обращаться стоит только в том случае, если у сервиса есть программа по исправлению ошибок ("bugs bounty"), если же нет, а аппликуха популярная - лучше перестать пользоваться, застраховаться и не лезть, ну или сообщить с левого одноразового мейла.
А что до вознаграждения - вот что пишет классик, Иван наш Андреевич Крылов

Answer 2

[Василий Банников]

Есть ли законные способы получить вознаграждение за проделанный труд и помощь сервису

Если у этого приложения есть программа багбаунти, то да - про пишите в СП и они потом вам соответствующую награду выдадут.
Если нет - можно заслужить только "спасибо", а в худшем случае ещё и обвинение во взломе с последующим судебным иском.

Хотя некоторые компании без багбаунти могут и наградить чемнибудь.
Например знаю 1 случай, когда клиент нашёл способ пользоваться платным сервисом без оплаты - он рассказал об этой уязвимости и ему дали промокоды на год пользования.

Comments

[Antonio Solo]

>> и ему дали промокоды на год пользования.
щедрость не знает границ :)

Лично по своему опыту - мне одна известная (российская) компания отвалила жирную котлету зелени за небольшой но реально серьезный баг, позволяющий выполнить произвольный код.

[Василий Банников]

Antonio Solo, ну удалённое выполнение это да, реально серьёзно. А тут чел именно сам нарушал, но потом сознался.

Answer 3

[Константин]

Самое правильно и грамотное решение - это спросить у владельца сервиса, есть ли у них вознаграждение за найденные уязвимости, если да, то вам повезло.
Если нет, то расписать в теории и заснять видео всех действий, которые позволяют произвести проникновение или что там. И замазать на видео участки, где кроется "секрет". И отправить это владельцу сервиса с предложением вознаграждения. Если повезёт - то хорошо.
Если и в этом случае вам отказали в вознаграждении - то просто расскажите владельцу сервиса об уязвимости.
Кармически вознаграждение вам придёт :)

Comments

[Данил]

Пошел именно по Вашей схеме. Жду....

[Данил]

но, все равно, тревожно :) В худшем случае (заранее прошу прощения хабр, если вдруг такое произойдет..) код появится здесь через 15 дней. Мало ли :)

[Константин]

Данил, если не затруднит, скиньте потом в этот вопрос ссылку на хабр.

[Данил]

Константин, если не я, то автореги через 15 дней

[Antonio Solo]

Если и в этом случае вам отказали в вознаграждении - то просто расскажите владельцу сервиса об уязвимости.

почему это только владельцу ? если владелец не платит - тогда смело можно всем!

[Константин]

Вот компания zerodium публикует свой прайс на вознаграждение за найденный уязвимости - https://zerodium.com/program.html
На мобильные платформы гонорары от 100 тыс. доларов до 2,5 милионов доларов.

Но мне они не нравятся. Может они не оповещают владельца компании и сами продают уязвимости правительственным службам, чтобы проникать в смартфоны обычным гражданам, например, в ваш смартфон. Будет весело, если через вашу уязвимость залезут в ваш смартфон же :)

[Alexander]

Данил, есть какой нибудь прогресс?

Answer 4

[АртемЪ]

Есть ли законные способы получить (не)скромное вознаграждение за проделаный труд и помощь популярному сервису

Не понятно кому вы помогли, и даже если помогли, то кто просил вас об этой помощи. А до вашего труда нет никому дела.

Можете связаться с владельцем приложения - там как повезет. Может наградит, может пошлет матом на три буквы, скорее всего проигнорирует.

Лично я на месте владельца приложения проигнорировал бы, а если бы настойчивый человек оказался - послал.

Comments

[lUser L]

Лично я на месте владельца приложения проигнорировал бы, а если бы настойчивый человек оказался - послал.

Да, но только если это очередное приложение прогноза погоды или фильтров для фото и тд.
Но в других случаях, как например в данном, со слов автора "ну о-о-о-очень популярного" решает не один человек, и уж точно больше двух вариантов -

проигнорировал, послал

[АртемЪ]

Эмиль 🔥,

решает не один человек, и уж точно больше двух вариантов -

Если они планомерно ищут уязвимости - есть багбаунти.
Если не ищут - ну увидят, если окажется полезным может поправят, а может и нет, Может даже захотят отблагодарить, и напишут ответ.

Надо учитывать и тот факт что в большинстве случаев сообщения читает не тот кто имеет финансовый интерес .

[javedimka]

АртемЪ,

в большинстве случаев сообщения читает не тот кто имеет финансовый интерес .

Как можно работать в компании и не быть заинтересованным в её финансовых показателях? Тебе зарплату всё таки платят.

[АртемЪ]

Как можно работать в компании и не быть заинтересованным в её финансовых показателях?

Да элементарно. Работнику то какая печаль от финансовых показателей компании?
Прибыль идет акционерам, работнику от хороших финансовых показателей ни горячо, ни холодно, он не владелец и не акционер.
Работник получает либо оклад, либо сдельно. В любом случае эта оплата не зависит от прибылей или убытков компании.

[Uno]

именно поэтому ты и сисадмин бро)))

[АртемЪ]

Uno,

именно поэтому ты и сисадмин бро)))

А кем мне еще быть? Уборщицей?

[javedimka]

АртемЪ, Ну так финансовый крах потерпит компания, закроется, работников сократят, а им кредиты платить, детей одевать, если компания устраивает то почему бы и не переживать за её успех, особенно когда сам на него повлиять можешь.

[АртемЪ]

javedimka, В мелкой фирме - так и есть.
В крупной действия конкретного работника, если он не является менеджером высшего звена мало влияют на возможность краха компании.

Я работая на компанию просто хорошо выполняю свою работу - все что не касается моей работы, я не делаю, потому что мне за это не платят.