Si alguien descubre una vulnerabilidad desconocida para un servicio en línea o un sitio web determinado, ¿existe una manera decente de venderlo directamente a la entidad en cuestión?
No hay una solución segura garantizada para tratar las vulnerabilidades encontradas. Ha habido casos recientes en los que los investigadores han sido amenazados de enjuiciamiento simplemente por informar de una vulnerabilidad de URL simple a un banco. El banco los acusó de piratear, porque fue una violación de sus TOS intentar manipular su URL.
No están obligados a tratar con usted. No contrataron con usted para buscar vulnerabilidades. Así que no esperes mucho en el camino de la cooperación.
Considere usar un servicio de correo electrónico de terceros para contactarlos. Podría ofrecerles de forma anónima la vulnerabilidad, junto con una palabra clave, y luego acercarse a ellos más tarde después de que hayan aceptado no procesar.
También puedes acercarte a ellos a través de uno de sus proveedores. Si ve que su sitio está alojado en IIS, puede ponerse en contacto con el equipo de seguridad de Microsoft en lugar de con la organización.
La única forma "decente" de ganar dinero con los errores de seguridad encontrados, a menos que haya sido contratado para hacerlo por adelantado, es a través de la "recompensa de errores" o programas similares. Si se comunica con una empresa para informarles sobre el error y solicita dinero antes de informarles, es muy probable que tenga problemas legales por extorsión.
En realidad, solo he visto una forma en la que posiblemente podrías evitar el reclamo de extorsión. Eso sería darles un NDA firmado, básicamente diciendo que no divulgará información sobre el error a nadie más que a ellos, incluso si rechazan su oferta. La oferta es que les da información sobre el error si decidieron pagarle, de lo contrario, se lo llevan a su tumba. Pero esto aún sería una tarea difícil.
Es probable que sea mejor para que usted divulgue la información a través de métodos normales, listas de correo de seguridad profesional, etc. Obtenga su nombre como investigador de seguridad, obtenga más contratos, etc.
Editar: como se señaló en el comentario, no mencioné programas de terceros, es decir, zerodayinitiative.com que depende de qué Usted ha encontrado, sin duda valdría la pena mirar.
Es simple, llámelos, pregúnteles qué está tratando de informar. (Si no puede encontrar nada en línea sobre una recompensa o recompensa por algún tipo de informe de errores)
Pregúnteles si tendrán algún programa de ese tipo de cosas, si dicen que NO, bueno, su única forma es ponerse en contacto con alguien que pueda cambiar esto, como el "presidente" de la compañía (solo hablando de mi cabeza) ).
Pero, informes de errores que todas las aplicaciones y servicios web tienen ... si hubiera encontrado un exploit, eso sería algo diferente, y la mayoría de las grandes compañías otorgan grandes sumas de dinero por eso (google, facebook y así ... .).
Si pudieras publicar exactamente qué compañía, sería más útil porque ese tipo de cosas depende de cada una de ellas.
Lea otras preguntas en las etiquetas legal vulnerability-markets