責任ある開示「キャッチアンドキル」への対​​処方法

CVEを割り当てるには、脆弱性を Mitre に報告するか、または Full Disclosure 。に報告する必要があります。

ベンダが報告したバグの修正を拒否した場合、それを公に開示するか、CVEを割り当てようとすることは倫理的に許容されます。これは、バグが実際に悪用されている可能性があると確信している場合は特に重要であり、脆弱性の知識によりエンドユーザーが簡単に緩和できる場合はさらに重要です。人々は通常、修正されていない脆弱性を報告する前に一定期間待機します。問題をベンダーに開示し、90日間待ってから公開するのが一般的です。

彼らはおそらくあなたをプログラムから追い出しますが、厄介な訴訟に従事せずにお金を取り戻すことはできません。実際、そのような会社は法的手段に訴えることなく簡単にお金を取り戻すことができないため、これらのゼロデイ販売会社（多くの場合、より高い価格を支払う非倫理的な会社）は一定期間にわたってゆっくりと支払いをします。違反を是正する法的システムに関与せずにバグを開示した場合、早期に支払いを終了できるようにします。

お金はあなたのものですが（契約がそうであると仮定して）、あなたは契約違反で訴えられ、あなたが稼いだ金額よりもさらに多くのお金を支払うことを強いられる可能性があることを覚えておくことが非常に重要です（法的費用と損害の両方）訴訟）。ほとんどの国で契約違反は犯罪ではありませんが、民法はまだ有効です。これがあなたにとって重要である場合、または訴訟を起こしている会社からの訴訟の危険を冒したくない場合は、実際の弁護士に相談し、見知らぬ人からインターネットで法的助言を受けないようにする必要があります。

ここでどのように選択したかわかりません。バグバウンティプログラムの条件に基づいてお金を受け取りました。すでにお金を渡したため、契約を取り消すことはできません。

彼らのバグ報奨金プログラムの条件の下で、彼らがそれを修正するのにどのくらい時間がかかっても、私たちは問題を公開することを許可されていません。

したがって、契約に違反せずにバグを開示することはできません。

契約に違反するかどうかは、これに投入する金額、時間、労力に大きく依存します。訴訟はすぐにストレスと費用がかかります。あなたが意図的に契約に違反したとすると、会社があなたに訴訟を起こす可能性はかなり高いです。

最良の選択肢は、ベンダーに再度連絡して、彼らと協力することです。彼らが正しい修正を実装するのを手伝ってください。連絡している人が役に立たないようであれば、会社の誰かに連絡することができます。