N
@F1E1F97D13114E86449B27EDAB325C4B получил выплату 200 000 сегодня за баги сданные по багбаунти. Спустя два месяца , но получил :) не все Владельцы информационных систем платят за уязвимости, но мы работаем над этим
Size: a a a
2021 March 10
a
@F1E1F97D13114E86449B27EDAB325C4B получил выплату 200 000 сегодня за баги сданные по багбаунти. Спустя два месяца , но получил :) не все Владельцы информационных систем платят за уязвимости, но мы работаем над этим
👏👏👏👏
BA
@F1E1F97D13114E86449B27EDAB325C4B получил выплату 200 000 сегодня за баги сданные по багбаунти. Спустя два месяца , но получил :) не все Владельцы информационных систем платят за уязвимости, но мы работаем над этим
Вы сливаете баг только после оплаты?
N
Мы сливаем баг только если на это согласится владелец системы. Но в случае с гос системами, будем стараться делать открытую программу и публиковать врайтапы после исправления уязвимости
N
Самый открытый - это Арман в Зерде сейчас, кто спокойно разрешил опубликовать врайтап по критической баге в Зерде :)
BA
Мы сливаем баг только если на это согласится владелец системы. Но в случае с гос системами, будем стараться делать открытую программу и публиковать врайтапы после исправления уязвимости
Ну я имел ввиду "Вы даете баг администрации сайта, только после того как он оплатил? "
N
Нет, мы сразу говорим, даже в том случае, если они не будут платить
N
Мы сразу сдаём им багу
N
Запутался. Короче, мы им отправляем багу в любом случае
BA
Нет, мы сразу говорим, даже в том случае, если они не будут платить
Круто(для администраторов сайтов)
N
Просто если они отказываются платить итд, мы об этом уведомляем исследователя. Да и планируем вообще уведомлять исследователей о том, кто не заинтересован платить. Чтобы и они не тратили время и не было обидно за бесплатно слитые баги
N
Это как бы на совести владельцев системы будет
BA
T
Просто если они отказываются платить итд, мы об этом уведомляем исследователя. Да и планируем вообще уведомлять исследователей о том, кто не заинтересован платить. Чтобы и они не тратили время и не было обидно за бесплатно слитые баги
а если исследователь потом сольёт багу в открытый доступ - это как-то карается законом/есть некая договорённость сторон?
M
@F1E1F97D13114E86449B27EDAB325C4B получил выплату 200 000 сегодня за баги сданные по багбаунти. Спустя два месяца , но получил :) не все Владельцы информационных систем платят за уязвимости, но мы работаем над этим
Спбо огромное ☺️
T
что нельзя публиковать и прочее. некое соглашение о конфиденциальности
N
Tomas A. Anderson
а если исследователь потом сольёт багу в открытый доступ - это как-то карается законом/есть некая договорённость сторон?
У нас есть на сайте правила и офферта, с которой он соглашается автоматически при регистрации. Если будет публикация , будем банить его. Я не вижу в будущем выгоды исследователя публиковать в обход правил
N
Один исследователь багу пробовал сдавать напрямую, получил заяву в кнб от владельца системы
T
Один исследователь багу пробовал сдавать напрямую, получил заяву в кнб от владельца системы
пацан к успеху шёл...
BA
Один исследователь багу пробовал сдавать напрямую, получил заяву в кнб от владельца системы
Жалко его. А почему на вас не подают заявки за Пентест без спроса?