Supongamos que usted es un investigador de seguridad que encuentra vulnerabilidades y las reporta a los proveedores para tratar de recibir una recompensa por errores. Si el proveedor no está dispuesto a pagar ninguna recompensa por cualquier vulnerabilidad, simplemente no revela el error y lo mantiene en privado. El problema permanece abierto.
Sin embargo, el vendedor sí vende su producto a posiblemente cientos de clientes que son vulnerables al error, que definitivamente no quieren seguir siendo vulnerables, ya que podrían sufrir importantes pérdidas financieras si alguien más lo encontrara y lo utilizara. para robar información, o peor.
¿Cuáles son los argumentos legales y éticos para llegar a los clientes del proveedor, informarles que el error existe, explicar sus posibles pérdidas (seis cifras) y utilizarlo como palanca para que el proveedor encuentre el error por su cuenta? (si pueden), o le pagan su recompensa por error deseado?
Mientras el error realmente exista y no asustes a los clientes por nada, y el proveedor es más que capaz de encontrar el error por sí solo si no está dispuesto a pagarte por su divulgación, ¿no es así? ser malo hacer? La opción alternativa de dejar el error solo y mantener a todos los clientes vulnerables, tampoco parece ser una opción muy ética, aunque a corto plazo crea menos problemas para el proveedor.
Cualquier consejo sería apreciado.