HRejterzy ostatnio opublikowali historię wymownie zatytułowana Rajesh - security researcher, ethical hacker. Film ten jest absolutnie genialny przez swoją autentyczność. Rajesh jest personifikacją zjawiska, które osoby mające udział w przetwarzaniu raportowanych błędów (niekoniecznie bezpieczeństwa) prawie na pewno mieli okazję zaobserwować. Ale czemu się tu dziwić?
Tak, wiele osób żyje z bug bounty i to żyje całkiem dobrze. Oczywiście wypłata jest (a przynajmniej powinna być) adekwatna do raportowanej podatności. Znalezienie podatności wymaga czasu, inwestycji w siebie. Ostatecznie może to nie jest dziwne, że te gorzej płatne podatności wymagające mniejszych umiejętności, zgłaszane są często z krajów, gdzie wartość pieniądza jest inna. Do tego dochodzi to, że angielski może być tam specyficzny, a i różnice kulturowe dają o sobie znać.
Efekt? Masa raportów wyglądających jak ten Rajesha. JA jestem SECURITY RESEARCHER. JA znalazłem WIELKĄ DZIURĘ, chcę PIENIĄDZE, bo inaczej.... (...). Inne raporty może nie są tak nachalne/agresywne, ale wciąż trudne do zrozumienia. Często raport dotyczy czegoś, co ma działać właśnie tak jak działa, albo rzeczywistej słabości, która jednak może nie mieć praktycznego przełożenia na ryzyko lub ryzyko to jest znane i zaakceptowane. Wtedy rozmowy mogą stać się trudne, bo komuś może być trudno zrozumieć, że brak Secure lub HTTPOnly na cookie analitycznym nie skutkuje w session hijacking.
Łatwo jest wrzucić wszystkie takie raporty do kosza z napisem "Rajesh", ale może zdarzyć się również tak, że zgłaszany błąd jest prawdziwy i z istotnym wpływem na ryzyko. A jedynym problemem jest to, że osoba zgłaszająca nie miała tyle szczęścia w życiu, by nauczyć się w miarę poprawnego języka angielskiego. I jest tak bardzo "zmotywowana", bo nawet te 50$ mogą realnie zmienić jej życie.
Tylko ciężko jest stwierdzić, czy zgłoszenie ma sens, jeśli jedynym komunikatem jest "znalazłem coś, daj mi 1000$, to powiem co to".
