Если у вас есть информация об уязвимости и вы думаете сколько благодарности за нее вы сможете получить, то ни в коем случае не берите пример со случаев с такими компаниями, как Киевстар, МТС, ПриватБанк (уже развенчано: https://habrahabr.ru/post/306694/ ), да и многие другие. Ведь самое худшее, во что можно оценить стоимость уязвимости, это оплата услугами компании.
После моей недавней статьи: “Почему в Украине нет белых хакеров или история взлома Киевстар”, которая попала в рассылку “Самое интересное на Geektimes”, я внимательно ознакомился с комментариями и пообщавшись с некоторыми моими читателями, я понял, что надавил на больную мозоль.
Уязвимость однозначно стоит денег, в худшем случае тех, которые может потерять компания.
Минимальную же оценку уязвимости вы можете посмотреть в публичных Bug Bounty программах. Это те рамки от и до, в которых стоит мыслить.
Важно понять, что оценка уязвимости без должного анализа — это сугубо субъективный процесс, ведь каждый скажет свою цифру с потолка. Это чем-то схоже на оценку предметов искусства. Каждый предмет (уязвимость):
Для тех хакеров, которые далеки от этого понимания и придумали Bug Bounty программы, где огласили фиксированный прейскурант на описанные типы уязвимостей и поставили это на поток
Задумайтесь, Малевич ведь не знал сколько будет стоить его квадрат, когда его рисовал.
А ведь до сих пор многие наивные хакеры несут свое творчество и ожидают хоть какой-либо благодарности, в то время как на их дары непонимающе смотрит руководство, пока IT-отдел, заканчивая третью партию в доту левой ногой фиксит баг, который выкатили с мыслями «мне за это не доплачивают».
Особо умные руководители уже оптимизировали расходы на зарплаты тестировщиков, запустив баг баунти программу, ввели штрафы и премии, привязав их к количеству найденных багов многотысячной армией бесплатных тестировщиков-хакеров.
Не все люди технического склада ума обладают навыками продаж и могут провести переговоры с топ-менеджментом, поэтому если у компании, в системе которой вы нашли уязвимость, есть открытая программа вознаграждения, и вы согласны на озвученную цену — тогда можете смело репортить.
Если же программы нет, тогда назначайте свою цену, почему нет? Это ваше время и только вы можете его оценить по достоинству. В конце концов, есть теневой рынок и различного рода форумы, где в достаточной анонимности вы сможете продать информацию за хорошие деньги.
P.S. продажа открытой и доступной для всех информации не является нарушением закона
После моей недавней статьи: “Почему в Украине нет белых хакеров или история взлома Киевстар”, которая попала в рассылку “Самое интересное на Geektimes”, я внимательно ознакомился с комментариями и пообщавшись с некоторыми моими читателями, я понял, что надавил на больную мозоль.
Уязвимость однозначно стоит денег, в худшем случае тех, которые может потерять компания.
В 2015 году потери от утечки данных в среднестатистической компании оцениваются приблизительно в 3.8 миллиона долларов согласно отчету Ponemon. & IBM.
Минимальную же оценку уязвимости вы можете посмотреть в публичных Bug Bounty программах. Это те рамки от и до, в которых стоит мыслить.
Важно понять, что оценка уязвимости без должного анализа — это сугубо субъективный процесс, ведь каждый скажет свою цифру с потолка. Это чем-то схоже на оценку предметов искусства. Каждый предмет (уязвимость):
- абсолютно уникален и неповторим
- подделать не возможно
- имеется в единственном числе
- для кого-то не стоит и гроша, а кто-то готов заплатить миллионы.
Для тех хакеров, которые далеки от этого понимания и придумали Bug Bounty программы, где огласили фиксированный прейскурант на описанные типы уязвимостей и поставили это на поток
Задумайтесь, Малевич ведь не знал сколько будет стоить его квадрат, когда его рисовал.
А ведь до сих пор многие наивные хакеры несут свое творчество и ожидают хоть какой-либо благодарности, в то время как на их дары непонимающе смотрит руководство, пока IT-отдел, заканчивая третью партию в доту левой ногой фиксит баг, который выкатили с мыслями «мне за это не доплачивают».
Особо умные руководители уже оптимизировали расходы на зарплаты тестировщиков, запустив баг баунти программу, ввели штрафы и премии, привязав их к количеству найденных багов многотысячной армией бесплатных тестировщиков-хакеров.
Не все люди технического склада ума обладают навыками продаж и могут провести переговоры с топ-менеджментом, поэтому если у компании, в системе которой вы нашли уязвимость, есть открытая программа вознаграждения, и вы согласны на озвученную цену — тогда можете смело репортить.
Если же программы нет, тогда назначайте свою цену, почему нет? Это ваше время и только вы можете его оценить по достоинству. В конце концов, есть теневой рынок и различного рода форумы, где в достаточной анонимности вы сможете продать информацию за хорошие деньги.
P.S. продажа открытой и доступной для всех информации не является нарушением закона