Wir wurden von einem "unabhängigen Sicherheitsforscher" über das Projekt Open Bug Bounty kontaktiert. Die erste Kommunikation war in Ordnung und er gab die gefundene Sicherheitslücke bekannt. Wir haben das Loch geflickt und "Danke" gesagt, aber eine Spende abgelehnt (siehe unten).
Der Forscher schickte daraufhin eine Folge-E-Mail, in der er sagte, dass er mehr Schwachstellen gefunden hat, aber weil wir dies nicht getan haben. Wenn Sie keine Spende machen, behält er diese Schwachstellen für sich.
Mit anderen Worten, er sagte uns nur, dass er mehr Schwachstellen habe, würde diese aber nicht offenlegen, nachdem wir beschlossen hatten, die vorgeschlagene freiwillige Spende nicht zu zahlen.
Nach meinem Verständnis entspricht dies nicht mehr dem verantwortungsvollen Verhalten des weißen Hutes. Habe ich Recht mit dieser Behauptung?
Update
Ja, die Person hat den vorgeschlagenen Betrag für die Spende ausdrücklich angegeben.
Die verschiedenen Gründe für die Nichtzahlung der angeforderten "Spende" sind:
- die vorgeschlagene Höhe der "freiwilligen Spende" in Kombination mit der Schwere der festgestellten Sicherheitsanfälligkeit,
- Die fragliche Sicherheitslücke wurde laut unseren Protokollen nicht von einer "hochqualifizierten" Person gefunden, sondern von einem automatisierten Tool,
- der Tatsache, dass das Open Bug Bounty-Projekt erwähnt ausdrücklich, dass keine Zahlung erforderlich ist,
- der passive aggressive Tonfall.
Das Obige in Kombination mit der Tatsache, dass, während wir uns im Prozess von befinden Das Einrichten eines Bug-Bounty-Budgets und der damit verbundenen Richtlinien haben wir noch nicht abgeschlossen.
Lassen Sie uns klar sein: Wir haben weder ein Kopfgeld festgelegt noch eines versprochen, und wir haben es getan nicht für dieses Projekt anmelden. Das Open Bug Bounty-Projekt ist ein nicht verbundenes Projekt, das ausdrücklich sagt: " Es gibt jedoch absolut keine Verpflichtung oder Pflicht, Dankbarkeit auszudrücken
.Beachten Sie auch: Ich unterstütze zwar einen rechtlichen Rahmen zum Schutz gutgläubiger Sicherheitsforscher, aber dieser rechtliche Rahmen existiert derzeit in unserer Gerichtsbarkeit nicht. eine Tatsache, auf die unsere juristische Person nur allzu gern hinweisen wollte.