Mis compañeros de trabajo y yo descubrimos un problema de seguridad importante en una herramienta popular de ciberseguridad, que no se identificará aquí por razones que serán obvias.
Informamos el problema al proveedor de la herramienta a través de su programa de recompensas de errores en bugcrowd. Lo clasificaron como un problema de P2 y nos pagaron $ 2,000 por ello.
Son seis meses más tarde, y el problema aún no se ha solucionado, ni nos han dado un calendario para cuándo será. También nos informaron que, según los términos de su programa de recompensas de errores, no podemos revelar públicamente el problema, sin importar el tiempo que demoren en solucionarlo. ACTUALIZACIÓN: He seguido con ellos dos veces desde que lo informé, expresando una creciente agitación por el hecho de que el problema aún no se ha solucionado y me parece probable que esté siendo explotado, y esto es lo que me han dicho cada vez.
El problema no fue arcano ni difícil de descubrir y reproducir. Ha habido mucha discusión pública sobre temas de este tipo en herramientas de este tipo. Esto me hace preocuparme de que ellos estuvieran al tanto del problema antes de informarles y nos pagaron la recompensa de $ 2,000 para "atrapar y matar" nuestro informe, es decir, para evitar que lo divulguemos públicamente antes de que lo solucionaran.
Me preocupa que los piratas informáticos puedan aprovechar el problema para poner en peligro los datos de las personas, y el proveedor de la herramienta está permitiendo que esto continúe al no divulgar o solucionar el problema.
Incluso en la versión existente de la herramienta, existe una solución alternativa que puede aplicarse para minimizar el impacto del problema, por lo que la divulgación permitiría a las personas que usan la herramienta protegerse incluso antes de que se publique una solución. Por lo tanto, me siento cada vez más incómodo con mi conocimiento sobre este tema en lugar de divulgarlo públicamente.
En este punto, me complacería enviar un cheque por $ 2,000 a su dirección de correo corporativo y pedirles que obtengan su recompensa y la empujen y luego revelen el problema públicamente para proteger a otros usuarios de la herramienta. El problema con esto es que donamos los $ 2,000 a la caridad, como les dijimos que estábamos planeando hacer cuando les informáramos el problema, por lo que ya no tenemos el dinero para enviarles.
¿Alguien tiene algún consejo que ofrecer?