Trabajo para una startup SaaS B2B que no tiene mucho dinero (somos 6 personas, 2 desarrolladores, tenemos aproximadamente 6 meses de pasarela e ingresos mensuales de $ 25K, < 50 clientes).
El consejo común que he visto para pequeñas empresas / startups es "hacer lo suficiente" por seguridad (un balance de riesgo / recompensa). Para nosotros, sin embargo, estamos a la vanguardia de nuestro pensamiento cuando escribimos código (por ejemplo, incluimos una revisión de seguridad como un paso explícito en nuestro proceso de revisión de combinación de códigos, solo usamos declaraciones SQL preparadas, etc.).
Recientemente, un investigador de seguridad nos contactó sobre algunas vulnerabilidades. Les dije que no tenemos un programa de recompensas oficial, pero estamos dispuestos a compensar. Dije que el programa de Slack podría ser una guía de cómo podríamos pagar (realmente depende del problema y del impacto / riesgo para nuestro negocio) .
El primer problema reportado fue un ataque CSRF que podría permitir a una víctima agregar accidentalmente al atacante a su cuenta y obtener acceso de administrador completo a la cuenta de la víctima. Esto fue POC ya que necesita un poco de trabajo para explotar. Creíamos que si se explotaba, podría exponer a todos los usuarios de los datos de nuestros usuarios. A pesar de que era POC, potencialmente podría destruir nuestro negocio. Les recompensamos $ 500 y también les enviamos por correo un botín. Cuando fuimos a pagarles, solicitaron $ 550 debido a las tarifas de PayPal. Les dije que si apareciéramos en un sitio como HackerOne, PayPal todavía cobrará las tarifas independientemente de la cantidad.
Ellos reportaron un problema por un ataque IDOR que podría permitir a cualquier atacante autenticado "deshabilitar" a cualquier usuario en nuestra aplicación. Al deshabilitar a un usuario en nuestra aplicación, solo se establece un indicador que no puede iniciar sesión. Este ataque no revela ninguna información y es fácilmente reversible. En este momento, creemos que el impacto / riesgo real de la empresa es muy bajo (ya que puede revertirse y no expone los datos de los clientes). Arreglamos esta vulnerabilidad inmediatamente. El investigador de seguridad fue muy agresivo con su recompensa esperada en su informe inicial. Citaron $ 15000 para un ataque IDOR en Uber, y $ 1500 de Slack. Respondí y dije que vamos a discutir internamente la recompensa porque sentimos que el impacto es bajo. Enviaron una respuesta en la que decían qué tan crítico es este problema y cómo puede causar estragos en nuestro negocio. El inglés no es el primer idioma de esta persona (y los informes son dramáticos / de baja calidad en términos de comunicación), pero lo he eliminado y solo me he centrado en el impacto en el negocio (no en el informe / periodista).
Queremos fomentar los informes de vulnerabilidad y queremos recompensar / compensar a los reporteros con las tasas de mercado. Sin embargo, no tenemos mucho dinero ya que somos una startup sin ninguna inversión. Estoy teniendo una gran lucha interna para compensar las vulnerabilidades frente a estar sin trabajo porque nuestro dinero va a pagar por las vulnerabilidades. No queremos pagar nada, pero queremos alentar los informes de sombrero blanco.
En este momento, estoy en la mentalidad de "pagar lo que creemos que vale el riesgo / impacto de la empresa". Para la segunda vulnerabilidad, discutimos que valdrían $ 150. Cuando enviamos una respuesta con nuestra cantidad, intentaron regatearnos a $ 500 y $ 300 alegando que es injusto.
¿Qué consejo le daría a una pequeña empresa para crear / mantener un programa de recompensas de errores?