спасибо запояснение. ну там пофиг похоже всем.

читал уже про двоякую ситуацию. если нет оф программы, то может аукнуться такое вроде бы. я не особо безопасник/программист/тестер. но немного читаю да знаю.

могу из жизни рассказать момент без упоминания конторы с корторой была заруба

интересно конечно, расскзывай

типы решили что они умные. хотя я им видео скинул и инструкции как починить сеть офсиа торчащую наружу. и кода кусок.
и они в этом пытались вымогательство рассмотреть.
я поржал и предложил судиться. в общем давили что они компания а я моль.
доказал что не было мотива у меня вредить, что не открывал файлы, не модернизировал ничего. а только лишь сообщил что надо спасать жопу.
выплатили компенсацию сами. а типа который начал прессовать меня пытаться уволили нах

то есть ты просто добровольно помог, ничего не просил. а они сразу усмотрели вымогательство?

конечно не стоит ждать что все безоблачно и все реагировать будут по уму.
анонимные письма с инфой которая поможет и обезопасит - вот тактика рабочая

ага. стартаперы блин)

у нас клиент как-то случайно нащёл баг. после переезда на амазон файлов вылез баг, что при загрузке одних фото, можно было увидеть при переходе на свой файл чужой. Так клиенту за это бонусов насыпали в сервисе. Тут надо спасибо говорить большое, что выяснилось пока проблем не принесло

Нам как-то написал чувак вежливый, говорит багу нашёл давайте обсудим. Попросили скинуть пруфы, прислал очевидный heartbleed, где проскочило несколько паролей от личного кабинета. В итоге к взаимному удовлетворению согласовали с ним косаря 3 рублей. SSL обновили конечно. Маленький (весьма) провайдер, ~2015.

во) это уровень адеквата хороший.

единственное что не советую - писать хостинг провайдерам об инфраструктурной уязвимости.
во первых они никогда не признают. ибо юзеры массовыми исками им порвут все места...
и могут вообще хостеры очень плохо отреагировать.....

И никогда не стоит в открытую писать госконторам про уязвимости у них. Даже без желания что-то получить.

в целом 100% да.
контора спросит кто такой под кем ходишь и так далее.
в этом проблема. если ты не понятен конторе - они считают тебя потенциальным не другом уж точно ))

есть в законах про аудит моменты- но там надо создавать Общественную огранизацию. и договариваться с властями про то что вы можете помогать находить косяки

У нас разве что-то такое делали? Никогда не слышал про это

не делали видимо.
подводные камни в виде доказать что люди которые будут заниматься этим имеют опыт  знания чисты и этичны, доказать что нет целей противоречащих защите общества...

ну и чтобы сын подруги соседа директора, который там получает 100500 лямов за пинание воздуха не удивился почему его потом могут вышвырнуть или хуже ....
общество тоже не будет радо тому что есть некая группа которая сама обьявила что будет защищать такими методами.

А как тогда ситуация с гос. услугами, например, решалась? Там же дыра на дыре были с личными данными. и это в новостях публиковали и даже парсер был на гитхабе.

Кто-то анонимно эту дыру публиковал разве?

Хз. А ПО по тендерам за бюджет писали ?