Desarrollé un programa muy disruptivo con importantes implicaciones. ¿Qué sigue? [cerrado]

Navega tus respuestas
-3

Larga historia corta y sin revelar demasiados detalles, yo y mi socio comercial se nos ocurrió una idea para un programa. Básicamente, pasa por alto la función de monetización de otra pieza de software mediante la inyección de paquetes. Es un script muy simple con 30 líneas de código.

El software es utilizado por miles o millones de personas y el desarrollador gana $ 120,000 + por día. Básicamente cobra una tarifa del 1% por usarlo. Estoy bastante seguro de que solo era un programador ordinario que lanzó este programa y se hizo rico de la noche a la mañana.

Ya determinamos que nuestro script es probablemente ilegal. Pero creemos que también es poco ético por muchas razones:

  • Priva al desarrollador de potencialmente millones de dólares. Esto depende de la base de usuario del script. Trabajó arduamente para desarrollar un programa que fuera mejor que los demás y que se merece el dinero, según el capitalismo.
  • Desalienta a los programadores y hackers de sombrero blanco a que descubran esta vulnerabilidad por sí mismos. Es como encontrar un código de trucos para un juego y contárselo a todos. El juego ya no es divertido.
  • Se aleja de la economía en lugar de contribuir a ella. Podríamos haber utilizado nuestro conocimiento y nuestro tiempo para crear valor y hacer crecer la economía en lugar de tomar las ganancias de otra persona
  • Le da al desarrollador un trabajo adicional para parchear la aplicación y volver a lanzarla.

No somos una gran empresa de software ni un investigador de seguridad. Solo somos dos niños en un garaje que no sabemos lo que estamos haciendo. El desarrollador tiene millones de dólares para perder. No es la ley lo que nos asusta, sino las represalias:

  • ¿Qué pasa si el desarrollador está enfurecido, lo estamos estafando y él es una persona violenta?
  • ¿Qué pasa si él nos rastrea y hackea nuestras computadoras? Puede haber puertas traseras en el software.
  • Una vez que hayamos rastreado, él podría contratar sicarios o secuestradores para que nos persiguieran
  • No sabemos cuánto poder e influencia tiene este desarrollador sobre la comunidad

¿Qué debemos hacer? ¿Eliminar este script y borrar los sectores de los archivos? ¿Usamos el script en silencio? ¿O nos estamos preocupando demasiado y es seguro lanzar el script?

EDITAR: Gracias a todos por el maravilloso consejo. Después de un día me he calmado un poco y he pensado en mi dilema lógicamente. Sí, hemos probado el exploit y funciona , aumentando nuestros ingresos en un 1%, que es de $ 0.70 / día. Decidí acercarme al desarrollador e informarle sobre el error. Poco a poco me iré abriendo camino y haré que parezca que estoy tratando de ayudarlo. Si es rico, puede ser generoso. Si no, no se pierde nada y no tengo que preocuparme más por esto.

No soy un hacker de sombrero blanco o sombrero negro ni ningún otro que busque exploits en mi tiempo libre, o que tenga una pasión por ello. Solo soy un usuario del software que se le ocurrió esta idea algún día. También nunca pensé en agregar el descubrimiento a mi currículum vitae y aceptar crédito si el desarrollador acepta nuestro informe de errores.

Si lo lanzamos como código abierto, tenemos que preocuparnos por ser rastreados y ser sicarios, solo por $ 0.70 más por día. Los otros usuarios ahorran colectivamente $ 120k pero nosotros solo ahorramos $ 0.70. Si le decimos al desarrollador, tenemos algo que ganar pero nada que perder.

Además, esto evita que las personas en el futuro tropiecen con la explotación, sin darse cuenta de las implicaciones y liberándolas.

Obviamente, el tema no se puede volver a abrir porque está fuera de tema. Solo quiero decirles a todos los que han leído esto hasta ahora.

    
pregunta user152225 30.06.2017 - 19:21
fuente

2 respuestas

1

Cosas como estas estarán ocurriendo todo el tiempo. Lo que hay que entender es que el desarrollador simplemente encontrará lo que está mal con su software, solucionará el error y seguirá adelante.

Sin embargo, si ha distribuido el script a otras personas, esto hace que lo que está haciendo sea muy ilegal y le recomiendo mucho eliminando la secuencia de comandos y no volver a utilizarla nunca más.

Como ha dicho Steffen Ulrich , puede ponerse en contacto con el desarrollador sobre el problema y, quién sabe, podrían recompensarlo por descubrir un error de este tipo.

    
respondido por el Joe 30.06.2017 - 20:52
fuente
1
  

¿Eliminar este script y borrar los sectores de los archivos?

Sí, pero no por las razones que crees.

  

¿Usamos el script en silencio?

¿Está pidiendo seriamente la validación para hacer algo no ético y ilegal para beneficio personal?

  

¿O nos preocupamos demasiado y es seguro lanzar el script?

También es ilegal e insensato, ya que en última instancia será atribuible a usted.

Enhorabuena, has descubierto una manera de robar un intercambio de drogas / bitcoins de darkweb. También eres lo suficientemente inteligente como para darte cuenta de que pasar por eso es una mala idea. Considera esto una experiencia esclarecedora en los principios de las pruebas de penetración y simplemente haz algo más.

No está obligado a divulgar esto y, sin asesoría legal, no debería hacerlo. Cuando la gente divulga las hazañas a los proveedores, es un intercambio muy cuidadosamente organizado con mucha asistencia legal. No es solo un correo electrónico que dice "Oye, hermano, pasé el fin de semana hackeando tu sitio. Hablemos".

Pero no necesitas estar paranoico porque solo lo has desarrollado y no has hecho nada con él (todavía), ya está contigo y los helicópteros negros comenzarán a rodear tu casa.

En todo caso, si realmente le tienes miedo al objetivo, debes asegurarte de que las copias de este script estén disponibles y asegurarte de que tu compañero no sea lo suficientemente codicioso o irracional para tomar el script y explotarlo. por su cuenta. Todas las empresas criminales colaborativas finalmente se derrumban porque uno de los socios hizo algo estúpido.

    
respondido por el Ivan 30.06.2017 - 20:56
fuente

Lea otras preguntas en las etiquetas

¿Cómo saber si mi copia de Windows 7 no está modificada? ¿Podría el bloqueo de secuencias de comandos en la url impedir DOM XSS? [cerrado]