Комментарии 6
Проблема выглядит интересно, но вот второй аргумент от компании очень странный:
Кажется, что достаточно легко найти/купить старый аккаунт, слышал даже про специальные сервисы/людей, которые регистрируют аккаунты пачками на новых сервисах, чтобы потом перепродать их с хорошими именами или бонусами для старых клиентов.
Про уменьшение скоупа странный аргумент, создал аккаунт, подождал месяца 2 с небольшим, куча официантов вышла к новогодним праздникам подработать, перед праздниками присвоил их ссылке заранее созданным аккаунтам, вывел деньги, смотришь на то, как негодует толпа официантов, в маркетинг и безопасники пытаются после праздников объяснить, где все чаевые.
Плюс, вообще не понимаю тягу сотрудников ИБ снижать критичность багов. И так довольно много людей считает, что в BugBounty надо нести мелочь, которую сложно реализовать выгоднее, так ещё тем, кто приносит реально серьёзную проблему, говорят, что она не серьезная.
Особенности российского BB))
В целом, о российском BB у меня очень теплые воспоминания и отзывы. Самый кринж выдавали как раз крайне знаменитые и богатые иностранные компании, два ярких случая:
А первом компания подождала несколько месяцев, чтобы закрыть уязвимый сайт акции, а потом сказать, что они не могут воспроизвести проблему, так как сайт не открывается.
А во втором на довольно копеечную уязвимость была реакция вида: "На проде тестировать по правилам программы нельзя, вознаграждение за отчет с прода не дадим. Для тестирования есть специальный открытый тест. А на тесте нет угрозы от использования уязвимости, так как это тест, и он не используется в бизнес-процессе"
А первом компания подождала несколько месяцев, чтобы закрыть уязвимый сайт акции, а потом сказать, что они не могут воспроизвести проблему, так как сайт не открывается.
Бессмертная классика.
обычно после пары таких случаев начинают появляться анонимные zero day публикации о других обнаруженных уязимостях.
Про уменьшение скоупа странный аргумент
Более чем. Там всего восемь символов в уникальном ID, так что можно было бы и сбрутить какую-то часть без проблем.
Как необычные решения приводят к критическим уязвимостям. Или история одного бага, найденного в CloudTips