Comments 37
Субъективно считаю, что вопрос вознаграждения необходимо обговаривать до того, как репортить сам баг. Возможно только в общих чертах обрисовывая его наличие, а так же, обещать освящение оного публично, в случае отказа от "обещанного" вознаграждения, до того, как будет передан сам баг, с отсылкой на уже имеющиеся прецеденты. Не столько шантажа ради, сколько гарантии для.
Иначе, есть большой шанс поработать бесплатно.
Так и получилось, поработал бесплатно. Даже не за "спасибо". Но в случае с Apple по другому не получится работать, потому что они просят им все репортить на email. Поэтому лучше вообще не работать и ничего туда не слать. Либо продавать найденные вещи в других местах.
А что если попробовать написать статью на иностранной платформе и/или соцсети и обратить на нее внимание разработчиков / управленцев апл через линкедин? Если проблема имеет массовый характер то можно призвать объединиться и описать свои кейсы, обратив внимание бОльшего числа людей из компании? Поднять больше шума что людей кидают. Написать в теже их профильные СМИ и/или конкретным редакторам. Или это только к нам такое отношение?
Если просить деньги перед отправкой отчета - это уже шантаж и уголовно наказуемое действие
Я в 2021 отправлял в их баг баунти отчёт про возможность получения доступа к личным данным любого аккаунта, они это приняли, исправили, также прислали сообщение с HoF и после моих вопросов о вознаграждении вообще перестали отвечать ?♂️
Не понимаю таких шагов от компаний. Они ведь должны отдавать себе отчёт в том, что однажды кинув честного whitehat-a, в следующий раз он пойдёт и продаст дыру на дарк форумах
Они просто через это ещё не проходили! а жаль что ещё нету публичных прецедентов о том что они пострадали от собственной жадности!.
Мне кажется, о всех таких случаях нужно писать в твиттер/реддит/медиум и поднимать как можно больше шумихи.
Тут сложный кейс на самом деле.
Просто кричать о том какие плохие компании бессмысленно, нужны доказательства. А доказательства ты по нда раскрыть не имеешь права, иначе уже против тебя могут завести дело.
А доказательства ты по нда раскрыть не имеешь права, иначе уже против тебя могут завести дело.Тут на самом деле основной вопрос — в какой момент это самое NDA возникает? Ведь NDA это «соглашение», то есть договоренность между двумя сторонами о определенном поведении, которое должно быть как-то явно заключено, а не подразумеваться по умолчанию. Если человек получил баунти и при этом подписал бумаги — это одно. Если никаких фактических отношений с компанией не было, а была только переписка по е-мейл, то с чего вдруг эта NDA возникает?
Есть правила баг баунти, размещённые на сайте компании, там прописаны цели для атаки, что можно делать, что нельзя, а также как правило есть пункт, запрещающий разглашение найденной уязвимости.
Фактически, без заключения договора, вся твоя деятельность на сайте является нарушением законов, но компании баг баунти страницей говорят, на какие твои действия они могут закрыть глаза в обмен на твоё молчание об уязвимостях
Кто-то выставил задницей кривое нечто (серьёзно, проверка длинны токена? Такое ощущение, что кто-то спецом себе оставил такой бэкдор. Кстати, забавно, что автор попал в нужное количество символов) в тырнет, ты дёрнул ручку, оно открылось, а ты ещё и виноват? Какие ещё к чёрту белые шляпы? Играть честно можно только с теми кто имеет хоть малейшее понятие о чести.
А вообще свинство со стороны компаний, которые размещают на своих сайтах bug bounty страницу и потом просто не платят, встречаю очень часто. Особенно в последний месяц. Иностранные компании кидают потому что ты русский и им можно, русские компании кидают тоже по этой же причине и плюс из-за отсутствия ответственности. По этой причине, в данный момент времени, я вообще перестал участвовать в баг баунти программах, работаю только с проверенными временем заказчиками.
После блокировки VISA и Mastercard вроде как сначала карты МИР добавили и была возможность оплаты, а на текущий момент народ сообщает, что МИР тоже отключают. Понимаю бы еще они придумывали сказки про невозможность оплаты, но тут напряму прослеживается их отношение.
Да тут надо смотреть шире, в мировом bug bounty коммьюнити видим кучу обмана, это не должно так работать.
А самое обидное, что за факт обмана невозможно привлечь компании к ответственности. По-хорошему, нужно либо легализовать баг баунти на уровне закона, ввести такой термин, либо заключать со всеми компаниями договоры.
Ни кто не платит за уже оказанные услуги даром.
09.05.21 сдал багу, 04.11.21 они ее закрыли после длительной переписки с абсолютно непонимающим саппортом. В HoF добавили, про вознаграждение я даже не стал им писать.
https://support.apple.com/ru-ru/HT201536
03 Nov 2021: Luka Safonov A server configuration issue was addressed.
Описание абсолютно не соответсвует зарепорченной баге.
Не вступайте г... и не будет пахнуть! Ужели до сих пор не поняли?
Очень жаль, что Apple так поступает с теми кто по сути работает за них...
Ну значит нужно использовать найденные баги во благо корпорации Apple, чтобы гарантировать себе справедливое вознаграждение.
Зачем платить глупым русским, когда можно не платить? ???
Зы. Мне вот интересно, если бы скажем какой-то баг позволял получить персональную информацию об аккаунтах пользователей, и вы перед тем как отправить отчёт на bug hunting, провели тестирование и смогли получить допустим информацию о всех клиентах их США, как бы в этом случае могли строиться переговоры о возможном вознаграждении?
как бы в этом случае могли строиться переговоры о возможном вознаграждении?подозреваю, что фото нашедшего баг появится «на доске почета» ФБР.
Точно также бы и строились, неправомерный доступ к информации по идее оплачивается как P1 или максимум P2
Зы. Мне вот интересно, если бы скажем какой-то баг позволял получить персональную информацию об аккаунтах пользователей, и вы перед тем как отправить отчёт на bug hunting, провели тестирование и смогли получить допустим информацию о всех клиентах их США, как бы в этом случае могли строиться переговоры о возможном вознаграждении?
В таком случае переговоры о возможном вознаграждении попали бы под статью 163 УК РФ, пункт первый.
ну а может компания не всегда не причем, а человек который получил письмо, решил сам её зарепортить или через друга и сам получить вот эти самые 100к, ну а переписчику как бы типа наши полномочия все, этот баг кому-то оплачен
я-бы предположил, что просто произошла какая-то путаница. "не ищи злой умысел там, где можно обойтись просто глупостью". попробуй написать этому "Ричарду", что-то в духе: "I'm afraid there has been a misunderstanding. This security bug was fixed as a consequence of my report, as noted previously in our email thread. It was valid and reproduced before the fix."
может, путаница как раз там где тебя просят подтвердить фикс бага? (в не выложенной части переписки)
Я не верю, что Apple жалко денег - в конце концов это же не деньги наемных сотрудников. Есть подозрение, что кому-то в Apple невыгодно, чтобы о том, что баг найден сторонними людьми узнавали наверху. А не выплачивая вознаграждение этот факт возможно можно скрыть. Был найден некий баг и пофиксен доблестными сотрудниками. Кто нашел баг? Ну... сотрудники и нашли. Вот письмо какое-то прочитали - и сразу нашли. Т.е. имеет место серьезный управленческий косяк (ну или паталогическая жадность, что одно и то же).
Рискую предположить, что вообще все подразделение Apple, отвечающее за support находится в более чем плачевном состоянии. По инсайдам некоторых коллег коллег, критические баги не фиксятся годами, потому что за их фикс ты не получишь повышения и даже внимания руководства - зато получишь за участие в какой-нибудь "революционной" технологии, состоящей из двух иконок или имеющей причастность к чему-то, что Apple хочет показать на WWDC этого года.
Произвольные реджекты минорных версий приложений так вообще уже стали повсеместной практикой. Нарваться на совершенно некомпетентного ревьювера, копипастящего в причине реджекта какую-то несуразицу стало нормой, 20-25%% от коммитов новых версий в апстор так заканчиваются.
Система сборки xCode ужасна, новые фичи swift впиливаются криво и зачастую малопонятно зачем вообще нужны - зато огромных проблем Apple как будто не замечает. Intellisence в xCode по сравнению с той же Idea вообще, я считаю, не работает. В Visual C++ 6.0 1998 года все работало быстрее и лучше.
Компилятор swift не может за разумное время скомпилить средненькую монаду - именно такое сообщение об ошибке я вижу часто, и очень часто, на относительно свежем iMac 27.
Я могу еще долго продолжать, за последние 13 лет многие проблемы типа совершенно кривого UX Appstore connect становятся только хуже, но никак не лучше. Перезалить скриншоты приложения становится все больше и больше похоже на пытку.
Что ж удивляться, что такой же подход Apple используют и в bug bounty - возможно, для стороннего разработчика это покажется дикостью, но тех, кто годами живет в мире Apple нисколько не удивит
Критикую bug bounty программу Apple и наглядно показываю, почему не стоит туда репортить баги