Cómo lidiar con la divulgación responsable "atrapar y matar"

Question

Cómo lidiar con la divulgación responsable "atrapar y matar"

#1 de forest (4 votos)
#2 de Sjoerd (1 votos)

11

Mis compañeros de trabajo y yo descubrimos un problema de seguridad importante en una herramienta popular de ciberseguridad, que no se identificará aquí por razones que serán obvias.

Informamos el problema al proveedor de la herramienta a través de su programa de recompensas de errores en bugcrowd. Lo clasificaron como un problema de P2 y nos pagaron $ 2,000 por ello.

Son seis meses más tarde, y el problema aún no se ha solucionado, ni nos han dado un calendario para cuándo será. También nos informaron que, según los términos de su programa de recompensas de errores, no podemos revelar públicamente el problema, sin importar el tiempo que demoren en solucionarlo. ACTUALIZACIÓN: He seguido con ellos dos veces desde que lo informé, expresando una creciente agitación por el hecho de que el problema aún no se ha solucionado y me parece probable que esté siendo explotado, y esto es lo que me han dicho cada vez.

El problema no fue arcano ni difícil de descubrir y reproducir. Ha habido mucha discusión pública sobre temas de este tipo en herramientas de este tipo. Esto me hace preocuparme de que ellos estuvieran al tanto del problema antes de informarles y nos pagaron la recompensa de $ 2,000 para "atrapar y matar" nuestro informe, es decir, para evitar que lo divulguemos públicamente antes de que lo solucionaran.

Me preocupa que los piratas informáticos puedan aprovechar el problema para poner en peligro los datos de las personas, y el proveedor de la herramienta está permitiendo que esto continúe al no divulgar o solucionar el problema.

Incluso en la versión existente de la herramienta, existe una solución alternativa que puede aplicarse para minimizar el impacto del problema, por lo que la divulgación permitiría a las personas que usan la herramienta protegerse incluso antes de que se publique una solución. Por lo tanto, me siento cada vez más incómodo con mi conocimiento sobre este tema en lugar de divulgarlo públicamente.

En este punto, me complacería enviar un cheque por $ 2,000 a su dirección de correo corporativo y pedirles que obtengan su recompensa y la empujen y luego revelen el problema públicamente para proteger a otros usuarios de la herramienta. El problema con esto es que donamos los $ 2,000 a la caridad, como les dijimos que estábamos planeando hacer cuando les informáramos el problema, por lo que ya no tenemos el dinero para enviarles.

¿Alguien tiene algún consejo que ofrecer?

disclosure bug-bounty

pregunta Jonathan Kamens 10.12.2018 - 23:08

fuente

2 respuestas

Lea otras preguntas en las etiquetas disclosure bug-bounty

¿Cuáles son los riesgos de proporcionar SSLv2 para compatibilidad de dispositivo adicional? Seguridad de SHA256 y Bitcoins

score 4 · Answer 1

Debe informar sobre la vulnerabilidad a Mitre para obtener un CVE asignado o en Full Disclosure .

Cuando un proveedor se niega a corregir un error que usted ha informado, es éticamente aceptable divulgarlo abiertamente o intentar que le asignen un CVE. Esto es especialmente importante si cree que el error puede estar siendo explotado en la naturaleza, y más aún si el conocimiento de la vulnerabilidad permite una fácil mitigación por parte de los usuarios finales. Las personas generalmente esperan un período de tiempo fijo antes de informar una vulnerabilidad que no se ha solucionado. Es común revelar el problema al proveedor y esperar 90 días antes de hacerlo público.

Probablemente lo expulsarán del programa, pero no podrán recuperar el dinero sin participar en una demanda desordenada. De hecho, debido a que tales compañías no pueden recuperar fácilmente el dinero sin recurrir a acciones legales, estas compañías de venta diaria (a menudo las más poco éticas que pagan los precios más altos) a menudo le darán el pago lentamente durante un período de tiempo. permitiéndoles que cancelen el pago antes de tiempo si revela el error sin involucrar al sistema legal para remediar las infracciones.

Es muy importante recordar que, si bien el dinero es suyo (¡suponiendo que el contrato lo diga!), se lo puede demandar por incumplimiento de contrato y se le obligará a pagar incluso más dinero del que ganó (tanto en costos legales como en daños y perjuicios de la demanda). Si bien el incumplimiento de contrato no es criminal en la mayoría de los países, el derecho civil sigue vigente. Si esto es importante para usted o si no quiere arriesgar una demanda de una empresa litigiosa, debe consultar a un abogado de verdad y no consultar a un abogado de extraños en Internet.

score 1 · Answer 2

No veo cómo tienes una opción aquí. Usted aceptó el dinero según los términos del programa de recompensas de errores. No puedes deshacer el contrato ya que ya regalaste el dinero.

bajo los términos de su programa de recompensas de errores, no se nos permite divulgar el problema públicamente, sin importar el tiempo que tarden en solucionarlo.

Por lo tanto, no puede revelar el error sin infringir el contrato.

El incumplimiento del contrato depende en gran medida de cuánto dinero, tiempo y esfuerzo esté dispuesto a poner en esto. Una demanda rápidamente se vuelve estresante y costosa. Dado que infringió intencionalmente un contrato, es muy probable que la empresa lo vaya a demandar, ya que esto implica poco riesgo para ellos.

Creo que la mejor opción es ponerse en contacto con el proveedor nuevamente y trabajar con ellos. Ayúdales a implementar la solución correcta. Si la persona con la que está en contacto no le parece útil, tal vez pueda comunicarse con otra persona de la empresa.