web-dev-qa-db-ja.com

脆弱性を明らかにする前に「寄付」を要求していますか?

Open Bug Bounty プロジェクトを通じて、「独立したセキュリティ研究者」から連絡を受けました。最初の通信はまったく問題なく、見つかった脆弱性を明らかにしました。私たちはその穴にパッチを当てて「ありがとう」と言いましたが、寄付の支払いは拒否しました(以下を参照)。

その後、研究者はフォローアップメールを送信し、より多くの脆弱性を発見したことを伝えましたが、寄付をしなかったため、彼は自分でそれらの脆弱性を保持します。
言い換えると、提案された任意の寄付を支払わないことを決定した後、彼はより多くの脆弱性があることを私たちに告げただけで、それらを開示しませんでした。

私の理解では、これはもはや責任あるホワイトハットの行動と一致していません。私はこの主張で正しいですか?


更新
はい、その人は提案された寄付金額を非常に明確に示しています。

要求された「寄付」を支払わない理由は次のとおりです。

  • 「自発的寄付」の推奨される高さと、見つかった脆弱性の深刻度
  • 問題の脆弱性は、私たちのログによると、「非常に熟練した」個人によってではなく、自動化されたツールによって発見された、
  • open Bug Bountyプロジェクトが支払いが不要であることを明示的に言及しているという事実、
  • 積極的な積極的な声のトーン。

上記と、バグ報奨金の予算と関連するポリシーを設定している間に、まだこれを完了していないという事実との組み合わせで。

明確にしましょう:報奨金を設定したり、報奨金を約束したりせず、このプロジェクトにサインアップしませんでした。 Open Bug Bountyプロジェクトは無関係のプロジェクトであり、「ただし、感謝の気持ちを表す義務や義務は絶対にありません」と明記されています。

また、注意:私は正当なセキュリティ研究者を保護するためのある種の法的枠組みをサポートしていますが、この法的枠組みは現時点では私たちの管轄には存在しません。事実、私たちの法務担当者は非常に熱心に指摘できませんでした。

37
Jacco

私はバグハンターです。許可なくウェブサイトを攻撃し、賞金の額を自分で決定し、金銭を得られないために潜在的に危険な欠陥を阻止すると脅したのはなぜか、ここの誰もが彼のことを完全に良いと思っている理由がわかりません。欲求。なぜ彼はあなたの方針について事前に尋ねなかったのですか?バグ報奨金プログラムを実行したり、そもそも何かに対して誰かにお金を払ったりできると主張したことはありません。

再度説明すると、OPはOpen Bug Bountyプロジェクトに登録していません。このプロジェクトは、報奨金プログラムを実行していない研究者とウェブサイトの間の仲介者になることを提案しています。また、彼らは 明示的に言及 あなたが何かを支払う義務があるないことを示し、研究者は彼がガイドラインを読んでください。

ウェブサイトの所有者は、研究者に最も適切であり、研究者の努力と支援に比例すると考える方法で、研究者に感謝を表すことができます。ウェブサイトの所有者は、少なくとも研究者に「ありがとう」と言うか、研究者のプロフィールに推奨事項を書くことをお勧めします。 ただし、感謝の気持ちを表す義務や義務はありません。

(私自身の強調)

彼が金銭的な報酬を期待している場合、彼は実際に賞金プログラムを実行している会社でバグを探す必要があります。高い報酬を支払う評判の良いプログラムがたくさんあります。

その後、研究者はフォローアップメールを送信し、より多くの脆弱性を発見したことを伝えましたが、寄付をしなかったため、彼は自分でそれらの脆弱性を保持します。

もし彼がそれらをすでに見つけていて、それらをリストに入れてあなたに知らせるのはそれほど努力ではないなら、そうです、そうです、私はバグを控えるのは非倫理的だと思います。1 あなたは彼にあなたのために働くように頼みませんでした。バグの代金を前もって払えば彼は尋ねたかもしれない。そして、彼は寄付に関する彼の専門知識をあまりあなたに提供しませんでした-あなたの説明から、あなたが彼を支払わないとあなたのウェブサイトが危険にさらされるという穏やかな脅威のように聞こえます。

そのインシデントを、セキュリティにさらに投資する必要があるヒントとして捉えてください。小さな報奨金で実際のバグ報奨金プログラムを設定するか、専門の侵入テスターを雇うことを検討してください。しかし、あなたが何も約束しなかったなら、彼にあなたからお金を強要させてはいけません。

1彼があなたのために自由な仕事をするべきだということではありません。 彼があなたに言わないことはありますあなたが彼にそれを非倫理的にする特定の金額を支払わない限り、特にこれらのバグの悪用があなたの会社の将来を脅かす可能性がある場合はそうです。

45
Arminius

私の理解では、これはもはや責任ある「白い帽子」の行動と一致していません。私はこの主張で正しいですか?

白(およびグレー/黒)の帽子はあいまいな用語です。固定された普遍的な定義はありません。ウィキペディアの定義では、ほとんどの研究者は、ソフトウェアの発行者がパッチを適用することを拒否した場合に発行することは珍しいことではないので、グレイハットと見なされます。

あなたの質問への簡単な答えはノーです。あなたの目的が世界をより安全にすることであるならば、これは明らかに直接一致しません。間接的な議論があります-経済的報酬を奨励することにより、企業と研究者の間のより健全な関係を促進し、より多くの人々を現場に奨励するということです。

なぜあなたは尋ねますか?研究者は決してあなたに開示する義務はありません。あなたが彼が脆弱性を見つけることで法律に違反したことを証明できない限り、あなたに彼を強制する力はありません。今日まで、あなたは(うまくいけば、そうでなければ悪い光に自分を投げ込む)高い熟練した個人から完全に無料で数時間の仕事を受け取りました。あなたはそれを彼にサービスを提供し続けるために支払う価値があると見るか、そうしないかのどちらかです。

*タイトルを見て、彼が故意に自分の利益または自分の危害のために脆弱性を悪用しない限り、これはブラックハットの行動ではないと主張します(/意図をもって誰かに直接それらを与えます)。彼が開示を拒否した場合、その議論は白と灰色の帽子の定義の間にあるでしょう。

74
Hector

研究者は脆弱性を作成しなかったし、彼が発見したものをリリースまたは悪用すると脅迫していません。あなたが彼の仕事の代金を支払いたくないなら、そうしないでください、そしてあなたの会社は彼があなたに連絡する前よりも悪くはありません。実際、彼はあなたがあなた自身または別の請負業者を介して見つけることができる脆弱性があることをあなたに伝える贈り物を与えました。

いいえ、彼は非倫理的なことを何もしていません。

57
PStag

彼は開示する必要はありません-but彼はあなたが支払わない2回目のラウンド中に来ることを知っていました。それで、彼の動機は何ですか?あなたは知らないので、彼はそのギャップを使ってあなたに支払うよう圧力をかけています。

ただし、マルウェアをリリースしたり、ブラックハットに売り込んだりする恐れがないので、合法的に、場合によっては倫理的にも、クリアしない場合、またはブラックハットに売らずにエクスプロイトのオープンダンプを行う場合は、明らかにクリアになる可能性があります。

彼は合法的にそれを国民国家と安全保障会社に売ることができますが、あなたのコードの重要性を知らず、それが「研究者」にとって売れる場所であるかどうか言うことは不可能です。

公正な市場価値を支払うことはおそらくあなたの最善の策です。その人は研究に時間を費やしており、その情報はあなたにとって価値があります。彼らがそれを公然と解放したとしても、彼は法的に明確です。通知なしのリリースがあなたにどんな害を及ぼすかということになります。答えが多くない場合は、無視してください。そうでなければ現金を考え出す。これは純粋に功利主義的なBTWであり、実際には倫理に言及していません。倫理的には、あなたがリスクを冒していると感じている公開データがない限り、彼はあなたが支払うことに興味がないことを知っていたアプリ/サイトの調査をやめるべきでした。

10
Mark Stewart