Czasami dostaję pytanie, co robię, gdy znajdę jakąś podatność. Oczywiście mowa o sytuacji, kiedy zdarzy mi się coś znaleźć poza działaniami związanymi z realizacją zleceń. W moim przypadku odpowiedź jest prosta - nic. Po prostu "po pracy" nie szukam podatności, a jak coś mi się rzuca w oczy, to po prostu zamykam jedno oko i udaję, że drugim tego nie widzę. Dlaczego?
Odpowiedź na to pytanie również jest dość prosta i można ją przedstawić prostym akronimem CY(O)A. Jeśli organizacja nie ma jasno określonego programu bug bounty, wolę nie sprawdzać organoleptycznie w jaki sposób potraktuje informację o podatności. Wolę nie być później w sytuacji, w której będę musiał udowodnić, że nie jestem wielbłądem.
Można dyskutować nad różnymi aspektami tego podejścia, w szczególności można zarzucać mi "obojętność" oraz narażanie innych na ryzyko przez to, że podatność nie zostanie usunięta. Cóż, powtarzam - jeśli będzie jasna informacja w jaki sposób zgłaszać takie informacje i jak one będą potraktowane, zmienię swoje podejście. Zwracam uwagę, że nie poruszam tu kwestii ewentualnego wynagrodzenia za taką informację, akurat w przypadku zgłaszania rzeczy "zauważonych przy okazji" ma ona drugorzędne znaczenie. Nie mam natomiast ochoty być traktowany jako potencjalny szantażysta, złodziej, mason i cyklista, a z takim podejściem wciąż można spotkać się zdecydowanie zbyt często.
Tu warto zauważyć, że winne są obie strony, często osoby zgłaszające informacje o błędzie robią to w sposób co najmniej dziwny, niejednokrotnie uzależniając przekazanie informacji o znalezisku od otrzymania "nagrody" (bo media na pewno zapłacą za taką informację). Oczekiwania co do wartości tej nagrody bywają wygórowane i nie mają uzasadnienia w rzeczywistej "wadze" znaleziska. Takie podejście naprawdę trudno traktować w sposób inny, niż szantaż. Można też usłyszeć historie o przypadkach, gdy szczęśliwy "odkrywca" przekazuje informacje na temat swojego znaleziska w postaci filmiku nagranego na płytce, którą przekazuje osobiście w nocy na środku mostu. Folklor.
Pomijam tu również kwestię legalności "niezamówionego testu bezpieczeństwa" oraz tego, czy właściciel testowanej w taki sposób aplikacji powinien być wdzięczny, ewentualnie czy jego "pretensje" są uzasadnione. Moje podejście jest takie, że jeśli nie mam zgody, to nie testuję. Kropka.
miałem tego typu przygodę z systemem rekrutacji jednej z uczelni, gdzie, po podaniu wszystkich swoich danych personalnych od PESELu poprzez numeru dowodu aż do oceny z matematyki na maturze:), mogłem bez problemu uzyskać dostęp do wszystkich id systemowych < od mojego... podobnie jak przypadek innej osoby tutaj komentujących skończyło się na 2 mailach i podziękowaniu.
Osobiście nie zgłoszenie tego nie dałoby mi spać spokojnie - nie masz czasem takiego uczucia?
P.S. Adres URL i maila złośliwie usunąłem.
pozdrawiam!