Найдена опасная уязвимость в очень популярном мобильном приложении. Что делать?



@rek888

Совершенно случайно в бизнес-логике одного ну о-о-о-очень популярного мобильного приложения была обнаружена опасная уязвимость, позволяющая получить персональные данные и переписку любого его пользователя. На 100% проверено на себе (исключительно в исследовательских целях, с согласия пользователей). На проверку этой уязвимости и разработку алгоритма, а также рекомендаций по её устранению, ну конечно же, затрачено то самое драгоценное время.

Есть ли законные способы получить (не)скромное вознаграждение за проделаный труд и помощь популярному сервису, учитывая, что использование данной уязвимости «плохими парнями» и утечка данных пользователей может обойтись сервису 100…….000$ убытками?

Разумеется, я имею ввиду законные методы 🙂


Решения вопроса 3



@CityCat4 Куратор тега Информационная безопасность

и учечка данных пользователей может обойтись сервису 100…….000$-ми убытками

Может. Но (тебе) лучше, чтобы об этом сообщил кто-нибудь другой. Потому что скорее всего, тебя же и обвинят во взломе и хищении.
Обращаться стоит только в том случае, если у сервиса есть программа по исправлению ошибок («bugs bounty»), если же нет, а аппликуха популярная — лучше перестать пользоваться, застраховаться и не лезть, ну или сообщить с левого одноразового мейла.
А что до вознаграждения — вот что пишет классик, Иван наш Андреевич Крылов

Комментировать

Ответы на вопрос 1



@Jump

Есть ли законные способы получить (не)скромное вознаграждение за проделаный труд и помощь популярному сервису

Не понятно кому вы помогли, и даже если помогли, то кто просил вас об этой помощи. А до вашего труда нет никому дела.

Можете связаться с владельцем приложения — там как повезет. Может наградит, может пошлет матом на три буквы, скорее всего проигнорирует.

Лично я на месте владельца приложения проигнорировал бы, а если бы настойчивый человек оказался — послал.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *