Comments 3
Хороший ответ на простой детский вопрос: а почему хорошие люди не соберутся вместе против всего плохого и не сделают хорошо. Вот поэтому.
ИМХО, ситуация абсолютно ожидаемая и даже не новая. Скорее всего, это был сотрудник из команды, которая проверяет отчёты для тех компаний, которые самостоятельно проверять их не хотят. Довольно много взаимодействовал с этими сотрудниками, впечатления максимально плохие: кто-то не умел читать, кто-то вообще не понимал, как работают технологии, кто-то осознанно врал и закрывал глаза на уязвимость, чтобы его не наказали за то, что он накосячил. И через руки этих людей проходит куча отчётов с реальными уязвимостями. Сольёт ли критичные уязвимости тупой, жадный и бедный сотрудник? Рано или поздно - да.
А так - главная проблема Hackerone в том, что они продвигают концепцию того, что компания должна использовать какой-то внешний сервис для хранения информации об уязвимостях, а для удобства - допускать до этого каких-то левых людей сомнительной квалификации. Облачная для выплат - это хорошо, облачная платформа для обработки на ней данных об уязвимостях - крайне плохо.
Сотрудник площадки HackerOne продавал отчеты белых хакеров об ошибках и уязвимостях компаниям-разработчикам ПО