Skontaktował się z nami „niezależny badacz bezpieczeństwa” w ramach projektu Open Bug Bounty. Pierwsza komunikacja była całkiem OK, a on ujawnił znalezioną lukę. Poprawiliśmy dziurę i powiedzieliśmy „dziękuję”, ale odmówiliśmy wpłaty darowizny (patrz poniżej).
Następnie badacz wysłał e-mail z informacją, że znalazł więcej luk w zabezpieczeniach, ale ponieważ tego nie zrobiliśmy Jeśli przekaże darowiznę, zachowa te luki dla siebie.
Innymi słowy, powiedział nam tylko, że ma więcej słabych punktów, ale ich nie ujawni, po tym, jak podjęliśmy decyzję o niepłaceniu sugerowanej dobrowolnej darowizny.
W moim rozumieniu nie jest to już zgodne z odpowiedzialnym zachowaniem białych kapeluszy. Czy mam rację, jeśli chodzi o to stwierdzenie?
Aktualizacja
Tak, ta osoba dość wyraźnie podała sugerowaną kwotę darowizny.
Różne przyczyny niepłacenia żądanej „darowizny” to:
- sugerowana wysokość „dobrowolnej darowizny” w połączeniu z powagą stwierdzonej podatności,
- według naszych dzienników omawiana luka nie została wykryta przez „wysoko wykwalifikowaną” osobę, ale raczej przez zautomatyzowane narzędzie,
- fakt, że projekt Open Bug Bounty wyraźnie wspomina, że nie jest wymagana żadna płatność,
- pasywny agresywny ton głosu.
Powyższe w połączeniu z faktem, że podczas gdy jesteśmy w trakcie konfigurując budżet nagród za błędy i związane z nimi zasady, jeszcze tego nie ukończyliśmy.
Wyjaśnijmy: nie wyznaczyliśmy ani nie obiecaliśmy nagrody, a nie zapisywać się do tego projektu. Projekt Open Bug Bounty jest projektem niepowiązanym, który wyraźnie mówi: „ Nie ma jednak absolutnie żadnego obowiązku ani obowiązku wyrażania wdzięczności ”.
Ponadto uwaga: chociaż popieram jakieś ramy prawne mające na celu ochronę badaczy bezpieczeństwa działających w dobrej wierze, te ramy prawne w tej chwili nie istnieją w naszej jurysdykcji; fakt, że nasza osoba prawna była aż nazbyt chętna do zwrócenia uwagi.