Компания платит не за то, что вы потратили свое время, а за результат - это стандартная политика bugbounty. Если компания может предоставить доказательство того, что ваш результат никакой пользы компании не принесет (в данном случае компания об обходе была в курсе), то и оплату ожидать не стоит. Согласен, что в текущей ситуации есть
Проблемы с бюрократией - но как показывает практика, всегда останутся лазейки и крайние случаи, не подходящие под официальное описание.
Проблема с доверием - что мешает компании подделать Jira-тикет ради того, чтобы не выплачивать награду?
Ответ и на первый, и на второй пункт один: приходится принимать, что в bugbounty все идет на доверии как к компании, так и к участнику программы.
Это позволяет компаниям также действовать не по регламенту и в лучшую сторону: есть множество примеров оплаты компаниями поощрений за уязвимости тем, чьи уязвимости были не критичными, но исследователь потратил большое количество времени на их поиск и долгое время до этого сотрудничал с компанией. Делается это с целью поощрения и привлечения других исследователей к конкретной программе оплаты уязвимостей.
@milabsв целом для меня оплата была приемлема, ибо потратил больше времени на запуск их виртуалки, чем на поиск этого обхода.
В одном из популярных телеграм ИБ-чатов уже поднимался похожий вопрос (с участием многих представителей РФ Bugbounty программ), и пришли к заключению, что скрина тикета из Jira достаточно в качестве доказательства, что бага - дубликат (пусть даже и не была найдена другим исследователем на ББ-платформе) и вообще имели право не оплатить. Поэтому, участвуя в таких багбаунти программах вы заранее соглашаетесь на их "мировозрение" :)
Могу ошибаться, но раз при падении у предмета была высокая температура, то почему он имеет магнитные свойства? Вроде как магниты(и намагниченные предметы) при нагревании теряют их.
Компания платит не за то, что вы потратили свое время, а за результат - это стандартная политика bugbounty. Если компания может предоставить доказательство того, что ваш результат никакой пользы компании не принесет (в данном случае компания об обходе была в курсе), то и оплату ожидать не стоит. Согласен, что в текущей ситуации есть
Проблемы с бюрократией - но как показывает практика, всегда останутся лазейки и крайние случаи, не подходящие под официальное описание.
Проблема с доверием - что мешает компании подделать Jira-тикет ради того, чтобы не выплачивать награду?
Ответ и на первый, и на второй пункт один: приходится принимать, что в bugbounty все идет на доверии как к компании, так и к участнику программы.
Это позволяет компаниям также действовать не по регламенту и в лучшую сторону: есть множество примеров оплаты компаниями поощрений за уязвимости тем, чьи уязвимости были не критичными, но исследователь потратил большое количество времени на их поиск и долгое время до этого сотрудничал с компанией. Делается это с целью поощрения и привлечения других исследователей к конкретной программе оплаты уязвимостей.
(I'm not a bugbounty hunter, but 50k is 50k :)
@milabsв целом для меня оплата была приемлема, ибо потратил больше времени на запуск их виртуалки, чем на поиск этого обхода.
В одном из популярных телеграм ИБ-чатов уже поднимался похожий вопрос (с участием многих представителей РФ Bugbounty программ), и пришли к заключению, что скрина тикета из Jira достаточно в качестве доказательства, что бага - дубликат (пусть даже и не была найдена другим исследователем на ББ-платформе) и вообще имели право не оплатить. Поэтому, участвуя в таких багбаунти программах вы заранее соглашаетесь на их "мировозрение" :)