Cuanto cobrar a la empresa por divulgar vulnerabilidad

freishner · 23 Enero 2024

Tengo fuentes de datos de personas, desde donde se puede sacar info como (rut, nombre, tel, correo, etc).

La idea es contactarme con la empresa en cuestión, notificarles de que encontré cierta vulnerabilidad, dar alguna evidencia de ella, y cobrar su divulgación con la entidad involucrada, lo que sería un paso antes del parchado que perfectamente se lo pudieran encargar al personal de turno sin incurrir en costes extras como mantención a cargo del sueldo bruto del recurso.
Ésto es terreno inexplorado para mi. Así que me preguntaba si alguien ha valorisado algo similar (en términos su impacto, mas no del tiempo invertido), donde la empresa pague por concepto de "conocer la vulnerabilidad".

Gracias

Cosme · 23 Enero 2024

A las empresas que les importa tienen canales públicos para notificar problemas así.

A las empresas que no les importa te acusarán de extorsión. :zippyu

KrostySaurio · 23 Enero 2024

yo creo que te demandan antes de pagar por extorsion (de datos)... Como buen usuario eticamente correcto tu deber es informar la vulnerabilidad donde corresponda

Aerodynamic · 23 Enero 2024

A menos que tengas autorización, según la legislación chilena aunque lo hagas de buena fe entiendo que igual sería un delito

Si quieres insistir: https://www.troyhunt.com/beg-bounties/

unreal4u · 23 Enero 2024

bug bounty se le llama y bueno, depende de cada empresa no más 🤷‍♂️

En nuestra empresa pagamos bounties, pero no estamos adheridos a ninguna de las herramientas oficiales pq son carísimas para lo que es el tamaño de nuestra empresa.

Sin embargo, como convención sí nos apegamos a las buenas reglas y costumbres, tenemos nuestro .well-known/security.txt en su lugar y no demandamos a nadie si hacen un responsible disclosure.

Hemos pagado algunos bounties ya pero la gran mayoría son script kiddies. Lo que sí te aconsejo es primero contactarte con ellos e intentar hacer todo por las buenas y plantear desde el ppio tu plan de acción. Si ellos deciden no pagarte, lo único que puedes hacer es básicamente decirles "ok, entonces voi a dar a conocer la vulnerabilidad en 3 meses más" y publicarlo en algún medio de noticias. Como ellos no te han pagado tampoco existe un contrato mediante la cual te pueden obligar a quedarte callado, esa regla btw se va al tacho de la basura si se trata de seguridad nacional u otra institución que tiene que ver con cyberseguridad o relacionado, así que bueno... a informarse antes! jajajaj

Saludos.

Carlos E. Flores · 23 Enero 2024

unreal4u dijo:
lo único que puedes hacer es básicamente decirles "ok, entonces voi a dar a conocer la vulnerabilidad en 3 meses más" y publicarlo en algún medio de noticias. Como ellos no te han pagado tampoco existe un contrato mediante la cual te pueden obligar a quedarte callado, esa regla btw se va al tacho de la basura si se trata de seguridad nacional u otra institución que tiene que ver con cyberseguridad o relacionado, así que bueno... a informarse antes! jajajaj

Saludos.

Eso es extorsión, se puede meter en problemas.

freishner · 23 Enero 2024

unreal4u dijo:
bug bounty se le llama y bueno, depende de cada empresa no más 🤷‍♂️

En nuestra empresa pagamos bounties, pero no estamos adheridos a ninguna de las herramientas oficiales pq son carísimas para lo que es el tamaño de nuestra empresa.

Sin embargo, como convención sí nos apegamos a las buenas reglas y costumbres, tenemos nuestro .well-known/security.txt en su lugar y no demandamos a nadie si hacen un responsible disclosure.

Hemos pagado algunos bounties ya pero la gran mayoría son script kiddies. Lo que sí te aconsejo es primero contactarte con ellos e intentar hacer todo por las buenas y plantear desde el ppio tu plan de acción. Si ellos deciden no pagarte, lo único que puedes hacer es básicamente decirles "ok, entonces voi a dar a conocer la vulnerabilidad en 3 meses más" y publicarlo en algún medio de noticias. Como ellos no te han pagado tampoco existe un contrato mediante la cual te pueden obligar a quedarte callado, esa regla btw se va al tacho de la basura si se trata de seguridad nacional u otra institución que tiene que ver con cyberseguridad o relacionado, así que bueno... a informarse antes! jajajaj

Saludos.

No pensaba en llegar a eso, sería matar el negocio, mi idea es contactarme con la empresa, saber si les interesa conocer la vulnerabilidad e informar que "conocer" tiene x costo, entre medio irían algunas evidencias que permitieran dar fe de la filtración pero no de la vulnerabilidad. Si no les interesa o si se hacen los larris, no pasa nada. En un futuro me pudiera enrolar y ofrecer el parche por la vía regular, porque algunos bugs llegan +1 año tirados y quien sabe desde hacer cuanto están ahí.

unreal4u · 23 Enero 2024

Carlos E. Flores dijo:
Eso es extorsión, se puede meter en problemas.

mm true, hasta el momento sólo hemos tenido 2 vulnerabilidades medias serias y los informes de seguridad nos llegan directo a nosotros (DevOps / IT), así que cuando hay uno serio yo ya estoy mentalizado en que habrá un responsible disclosure jajajja mal que mal sirve de currículum

Pero si, cada empresa es distinta, no tengo idea en realidad de cuáles son tus opciones si se ponen pesados. Lo que sí se es que si te pescan, por lo general dp de unos 6 meses de intentos se hace el disclosure si o si, aunque quizás lo haría más protegiendo mi identidad en ese caso por si las moscas.

Sin embargo, si te responden pero te dicen que no hay bounty ni tampoco puedes publicar nada... pta, mala cosa jajajaj no tengo idea qué se hace en esos casos.

Saludos.

Cosme · 23 Enero 2024

freishner dijo:
No pensaba en llegar a eso, sería matar el negocio, mi idea es contactarme con la empresa, saber si les interesa conocer la vulnerabilidad e informar que "conocer" tiene x costo, entre medio irían algunas evidencias que permitieran dar fe de la filtración pero no de la vulnerabilidad. Si no les interesa o si se hacen los larris, no pasa nada. En un futuro me pudiera enrolar y ofrecer el parche por la vía regular, porque algunos bugs llegan +1 año tirados y quien sabe desde hacer cuanto están ahí.

entonces ofrécete como una empresa "consultora de seguridad" y ofrece el servicio de escaneo de vulnerabilidades (sabiendo que ya tienes un bug importante) por una módica suma mensual.

Puedes agregar cosas como cumplimiento de privacidad o cosas a fin.

freishner · 23 Enero 2024

unreal4u dijo:
Sin embargo, si te responden pero te dicen que no hay bounty ni tampoco puedes publicar nada... pta, mala cosa jajajaj no tengo idea qué se hace en esos casos.

Nada po, si no se interesan y no quieren comprar la info, no hay mucho que se pueda hacer. Quizá se pudiera vender la info como tal o como exploit en algún black market, aunque la prefieren ya cosechada por lo general, y eso te pone en la posición que en lo personal me gustaría evitar, ya que algunos comerciales son lo bastante estúpidos como para inventar que los estás intentando extorsionar con tal de sacarte la información gratis.

PENTIUM4HT · 23 Enero 2024

Escribeles un email ambiguo-profesional y era, no es necesario andar diciendo directamente que tienen una vulnerabilidad y quieres plata, las cosas asi se hacen de otra forma

doncoyote · 23 Enero 2024

Unethical hacker 😄

sr_meck · 23 Enero 2024

El problema es que cuando tu muestras evidencia real ya estas infringiendo la ley, si quieres hacerlo por el bien solo reporta la vulnerabilidad, si lo haces solo por el dinero no es la forma ya que como dijeron antes se requiere un contrato entre ambas partes pero es previo al xploit.

Carlos E. Flores · 23 Enero 2024

En todo caso en pedir no hay engaño. Puedes explicarles que encontraste un exploid y preguntarles si hay recompensa. Según lo que te digan puedes simplemente decirles donde está o inclñuso les puedes explicar como funciona y como se arregla

Lordnet · 25 Enero 2024

Carlos E. Flores dijo:
En todo caso en pedir no hay engaño. Puedes explicarles que encontraste un exploid y preguntarles si hay recompensa. Según lo que te digan puedes simplemente decirles donde está o inclñuso les puedes explicar como funciona y como se arregla

pero ahi el punto.

si yo le digo a un banco que hay un problema y solo me da las gracias (o no me pesca). "ok, mucho éxito con los ataques de los nigerianos". Pero el no recibir dinero no se traduce en que de picao pondré el bug en tiktok o yo mismo explotaré la vulnerabilidad.

"te encontré un pato, y te cobro 500 lucas por decirte como arreglarlo", no es mucha la diferencia a desplegar un ransomware en una empresa.

rodrigokfw · 25 Enero 2024

Yo creo que debes revisar sus políticas y/o solicitarlas antes de comunicarte con ellos.
Debes proteger tu identidad (asume que las leyes digitales aquí no existen).

browsons · 25 Enero 2024

Aló PDI....

Miguelwill · 25 Enero 2024

browsons dijo:
Aló PDI....

buenos dias, buenas tardeeees.... que susede?
ah si? un extorsionador le pide plata por no publicar su informacion privada? denos su correo o datos de contacto y sus datos para hacer la denuncia en fiscalia....

browsons · 25 Enero 2024

Miguelwill dijo:
buenos dias, buenas tardeeees.... que susede?
ah si? un extorsionador le pide plata por no publicar su informacion privada? denos su correo o datos de contacto y sus datos para hacer la denuncia en fiscalia....

Alo PDI, hay una organización ilícita comunista que habla abiertamente de extorsionar nuestras empresas capitalistas, se reúnen en tal sitio web. XD

Miguelwill · 25 Enero 2024

browsons dijo:
Alo PDI, hay una organización ilícita comunista que habla abiertamente de extorsionar nuestras empresas capitalistas, se reúnen en tal sitio web. XD

y venden notebooks robados.... :naster

Cuanto cobrar a la empresa por divulgar vulnerabilidad

Capo

Gold Member

Pro

Capo

I solve problems.

Zombie

Capo

I solve problems.

Gold Member

Capo

Capo

The ignored one

a.k.a chikogollo

Zombie

Autoridad Ancestral de Transacciones

Gold Member

Capo

I am online

Capo

I am online