Si la solicitud de pago a una parte afectada directamente por la divulgación de vulnerabilidades se considera una extorsión, ¿cómo pueden los investigadores de seguridad independientes ganarse la vida o un ingreso adicional al investigar vulnerabilidades de seguridad?
En el sentido 'blanco', las compañías más conocidas que pagan a los investigadores para comprar vulnerabilidades o explotaciones son:
Ciertas compañías como Mozilla y Google han establecido programas de recompensa de errores, ellos mismos compran vulnerabilidades de su software.
Charlie Miller (famoso desarrollador de exploits) ha escrito un pequeño artículo sobre el tema. Es una lectura interesante: El mercado legítimo de vulnerabilidad: el mundo secreto de las ventas de explotación de 0 días (2007)
Los programas de recompensas de errores y las competiciones como pwn2own vienen a la mente.
No sería una lista exhaustiva pero las grandes empresas que ofrecen recompensas de errores:
Microsoft es una excepción notable.
También puede obtener una beca de investigación de las universidades y el gobierno.
Yo diría que tiene mucho que ver con el orden de las operaciones:
Extorsión:
Tiger Team:
A menos que ya haya un programa de búsqueda de errores configurado, intentar encontrar vulnerabilidades y piratear es casi lo mismo sin un contrato preexistente.
Conozco a algunos consultores de empresas pequeñas e independientes que logran ganarse la vida trabajando como un equipo tigre para empresas. Yo diría que la parte más difícil es obtener la reputación, por lo que puede hacer un caso a la empresa para que usted sea la persona a quien paga por este trabajo.
Lea otras preguntas en las etiquetas disclosure bug-bounty