rek888
@rek888
Интернет коммерция

Найдена опасная уязвимость в очень популярном мобильном приложении. Что делать?

Совершенно случайно в бизнес-логике одного ну о-о-о-очень популярного мобильного приложения была обнаружена опасная уязвимость, позволяющая получить персональные данные и переписку любого его пользователя. На 100% проверено на себе (исключительно в исследовательских целях, с согласия пользователей). На проверку этой уязвимости и разработку алгоритма, а также рекомендаций по её устранению, ну конечно же, затрачено то самое драгоценное время.

Есть ли законные способы получить (не)скромное вознаграждение за проделаный труд и помощь популярному сервису, учитывая, что использование данной уязвимости "плохими парнями" и утечка данных пользователей может обойтись сервису 100.......000$ убытками?

Разумеется, я имею ввиду законные методы :)
  • Вопрос задан
  • 1124 просмотра
Решения вопроса 3
CityCat4
@CityCat4 Куратор тега Информационная безопасность
Если я чешу в затылке - не беда!
и учечка данных пользователей может обойтись сервису 100.......000$-ми убытками

Может. Но (тебе) лучше, чтобы об этом сообщил кто-нибудь другой. Потому что скорее всего, тебя же и обвинят во взломе и хищении.
Обращаться стоит только в том случае, если у сервиса есть программа по исправлению ошибок ("bugs bounty"), если же нет, а аппликуха популярная - лучше перестать пользоваться, застраховаться и не лезть, ну или сообщить с левого одноразового мейла.
А что до вознаграждения - вот что пишет классик, Иван наш Андреевич Крылов
Ответ написан
@vabka
Токсичный
Есть ли законные способы получить вознаграждение за проделанный труд и помощь сервису

Если у этого приложения есть программа багбаунти, то да - про пишите в СП и они потом вам соответствующую награду выдадут.
Если нет - можно заслужить только "спасибо", а в худшем случае ещё и обвинение во взломе с последующим судебным иском.

Хотя некоторые компании без багбаунти могут и наградить чемнибудь.
Например знаю 1 случай, когда клиент нашёл способ пользоваться платным сервисом без оплаты - он рассказал об этой уязвимости и ему дали промокоды на год пользования.
Ответ написан
Самое правильно и грамотное решение - это спросить у владельца сервиса, есть ли у них вознаграждение за найденные уязвимости, если да, то вам повезло.
Если нет, то расписать в теории и заснять видео всех действий, которые позволяют произвести проникновение или что там. И замазать на видео участки, где кроется "секрет". И отправить это владельцу сервиса с предложением вознаграждения. Если повезёт - то хорошо.
Если и в этом случае вам отказали в вознаграждении - то просто расскажите владельцу сервиса об уязвимости.
Кармически вознаграждение вам придёт :)
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
Jump
@Jump
Системный администратор со стажем.
Есть ли законные способы получить (не)скромное вознаграждение за проделаный труд и помощь популярному сервису
Не понятно кому вы помогли, и даже если помогли, то кто просил вас об этой помощи. А до вашего труда нет никому дела.

Можете связаться с владельцем приложения - там как повезет. Может наградит, может пошлет матом на три буквы, скорее всего проигнорирует.

Лично я на месте владельца приложения проигнорировал бы, а если бы настойчивый человек оказался - послал.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы