Cuanto cobrar a la empresa por divulgar vulnerabilidad

freishner

Capo
Se incorporó
16 Noviembre 2021
Mensajes
436
Tengo fuentes de datos de personas, desde donde se puede sacar info como (rut, nombre, tel, correo, etc).

La idea es contactarme con la empresa en cuestión, notificarles de que encontré cierta vulnerabilidad, dar alguna evidencia de ella, y cobrar su divulgación con la entidad involucrada, lo que sería un paso antes del parchado que perfectamente se lo pudieran encargar al personal de turno sin incurrir en costes extras como mantención a cargo del sueldo bruto del recurso.
Ésto es terreno inexplorado para mi. Así que me preguntaba si alguien ha valorisado algo similar (en términos su impacto, mas no del tiempo invertido), donde la empresa pague por concepto de "conocer la vulnerabilidad".

Gracias
 
Se incorporó
19 Abril 2021
Mensajes
635
yo creo que te demandan antes de pagar por extorsion (de datos)... Como buen usuario eticamente correcto tu deber es informar la vulnerabilidad donde corresponda
 

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Se incorporó
2 Octubre 2005
Mensajes
13.602
bug bounty se le llama y bueno, depende de cada empresa no más 🤷‍♂️

En nuestra empresa pagamos bounties, pero no estamos adheridos a ninguna de las herramientas oficiales pq son carísimas para lo que es el tamaño de nuestra empresa.

Sin embargo, como convención sí nos apegamos a las buenas reglas y costumbres, tenemos nuestro .well-known/security.txt en su lugar y no demandamos a nadie si hacen un responsible disclosure.

Hemos pagado algunos bounties ya pero la gran mayoría son script kiddies. Lo que sí te aconsejo es primero contactarte con ellos e intentar hacer todo por las buenas y plantear desde el ppio tu plan de acción. Si ellos deciden no pagarte, lo único que puedes hacer es básicamente decirles "ok, entonces voi a dar a conocer la vulnerabilidad en 3 meses más" y publicarlo en algún medio de noticias. Como ellos no te han pagado tampoco existe un contrato mediante la cual te pueden obligar a quedarte callado, esa regla btw se va al tacho de la basura si se trata de seguridad nacional u otra institución que tiene que ver con cyberseguridad o relacionado, así que bueno... a informarse antes! jajajaj

Saludos.
 

Carlos E. Flores

Zombie
Miembro del Equipo
MOD
Se incorporó
17 Marzo 2005
Mensajes
28.527
lo único que puedes hacer es básicamente decirles "ok, entonces voi a dar a conocer la vulnerabilidad en 3 meses más" y publicarlo en algún medio de noticias. Como ellos no te han pagado tampoco existe un contrato mediante la cual te pueden obligar a quedarte callado, esa regla btw se va al tacho de la basura si se trata de seguridad nacional u otra institución que tiene que ver con cyberseguridad o relacionado, así que bueno... a informarse antes! jajajaj

Saludos.

Eso es extorsión, se puede meter en problemas.
 
  • Like
Reactions: hpf

freishner

Capo
Se incorporó
16 Noviembre 2021
Mensajes
436
bug bounty se le llama y bueno, depende de cada empresa no más 🤷‍♂️

En nuestra empresa pagamos bounties, pero no estamos adheridos a ninguna de las herramientas oficiales pq son carísimas para lo que es el tamaño de nuestra empresa.

Sin embargo, como convención sí nos apegamos a las buenas reglas y costumbres, tenemos nuestro .well-known/security.txt en su lugar y no demandamos a nadie si hacen un responsible disclosure.

Hemos pagado algunos bounties ya pero la gran mayoría son script kiddies. Lo que sí te aconsejo es primero contactarte con ellos e intentar hacer todo por las buenas y plantear desde el ppio tu plan de acción. Si ellos deciden no pagarte, lo único que puedes hacer es básicamente decirles "ok, entonces voi a dar a conocer la vulnerabilidad en 3 meses más" y publicarlo en algún medio de noticias. Como ellos no te han pagado tampoco existe un contrato mediante la cual te pueden obligar a quedarte callado, esa regla btw se va al tacho de la basura si se trata de seguridad nacional u otra institución que tiene que ver con cyberseguridad o relacionado, así que bueno... a informarse antes! jajajaj

Saludos.

No pensaba en llegar a eso, sería matar el negocio, mi idea es contactarme con la empresa, saber si les interesa conocer la vulnerabilidad e informar que "conocer" tiene x costo, entre medio irían algunas evidencias que permitieran dar fe de la filtración pero no de la vulnerabilidad. Si no les interesa o si se hacen los larris, no pasa nada. En un futuro me pudiera enrolar y ofrecer el parche por la vía regular, porque algunos bugs llegan +1 año tirados y quien sabe desde hacer cuanto están ahí.
 

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Se incorporó
2 Octubre 2005
Mensajes
13.602
Eso es extorsión, se puede meter en problemas.
mm true, hasta el momento sólo hemos tenido 2 vulnerabilidades medias serias y los informes de seguridad nos llegan directo a nosotros (DevOps / IT), así que cuando hay uno serio yo ya estoy mentalizado en que habrá un responsible disclosure jajajja mal que mal sirve de currículum :)

Pero si, cada empresa es distinta, no tengo idea en realidad de cuáles son tus opciones si se ponen pesados. Lo que sí se es que si te pescan, por lo general dp de unos 6 meses de intentos se hace el disclosure si o si, aunque quizás lo haría más protegiendo mi identidad en ese caso por si las moscas.

Sin embargo, si te responden pero te dicen que no hay bounty ni tampoco puedes publicar nada... pta, mala cosa jajajaj no tengo idea qué se hace en esos casos.

Saludos.
 

Cosme

Gold Member
Se incorporó
27 Febrero 2005
Mensajes
8.281
No pensaba en llegar a eso, sería matar el negocio, mi idea es contactarme con la empresa, saber si les interesa conocer la vulnerabilidad e informar que "conocer" tiene x costo, entre medio irían algunas evidencias que permitieran dar fe de la filtración pero no de la vulnerabilidad. Si no les interesa o si se hacen los larris, no pasa nada. En un futuro me pudiera enrolar y ofrecer el parche por la vía regular, porque algunos bugs llegan +1 año tirados y quien sabe desde hacer cuanto están ahí.
entonces ofrécete como una empresa "consultora de seguridad" y ofrece el servicio de escaneo de vulnerabilidades (sabiendo que ya tienes un bug importante) por una módica suma mensual.

Puedes agregar cosas como cumplimiento de privacidad o cosas a fin.
 

freishner

Capo
Se incorporó
16 Noviembre 2021
Mensajes
436
Sin embargo, si te responden pero te dicen que no hay bounty ni tampoco puedes publicar nada... pta, mala cosa jajajaj no tengo idea qué se hace en esos casos.

Nada po, si no se interesan y no quieren comprar la info, no hay mucho que se pueda hacer. Quizá se pudiera vender la info como tal o como exploit en algún black market, aunque la prefieren ya cosechada por lo general, y eso te pone en la posición que en lo personal me gustaría evitar, ya que algunos comerciales son lo bastante estúpidos como para inventar que los estás intentando extorsionar con tal de sacarte la información gratis.
 

PENTIUM4HT

Capo
Se incorporó
26 Junio 2021
Mensajes
111
Escribeles un email ambiguo-profesional y era, no es necesario andar diciendo directamente que tienen una vulnerabilidad y quieres plata, las cosas asi se hacen de otra forma
 

sr_meck

a.k.a chikogollo
REPORTERO
Se incorporó
14 Mayo 2004
Mensajes
6.517
El problema es que cuando tu muestras evidencia real ya estas infringiendo la ley, si quieres hacerlo por el bien solo reporta la vulnerabilidad, si lo haces solo por el dinero no es la forma ya que como dijeron antes se requiere un contrato entre ambas partes pero es previo al xploit.
 

Carlos E. Flores

Zombie
Miembro del Equipo
MOD
Se incorporó
17 Marzo 2005
Mensajes
28.527
En todo caso en pedir no hay engaño. Puedes explicarles que encontraste un exploid y preguntarles si hay recompensa. Según lo que te digan puedes simplemente decirles donde está o inclñuso les puedes explicar como funciona y como se arregla
 

Lordnet

Autoridad Ancestral de Transacciones
Se incorporó
11 Junio 2004
Mensajes
2.231
En todo caso en pedir no hay engaño. Puedes explicarles que encontraste un exploid y preguntarles si hay recompensa. Según lo que te digan puedes simplemente decirles donde está o inclñuso les puedes explicar como funciona y como se arregla
pero ahi el punto.

si yo le digo a un banco que hay un problema y solo me da las gracias (o no me pesca). "ok, mucho éxito con los ataques de los nigerianos". Pero el no recibir dinero no se traduce en que de picao pondré el bug en tiktok o yo mismo explotaré la vulnerabilidad.

"te encontré un pato, y te cobro 500 lucas por decirte como arreglarlo", no es mucha la diferencia a desplegar un ransomware en una empresa.
 

rodrigokfw

Gold Member
Se incorporó
19 Octubre 2007
Mensajes
2.616
Yo creo que debes revisar sus políticas y/o solicitarlas antes de comunicarte con ellos.
Debes proteger tu identidad (asume que las leyes digitales aquí no existen).
 

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.403
buenos dias, buenas tardeeees.... que susede?
ah si? un extorsionador le pide plata por no publicar su informacion privada? denos su correo o datos de contacto y sus datos para hacer la denuncia en fiscalia....
 

browsons

Capo
Se incorporó
29 Noviembre 2005
Mensajes
268
buenos dias, buenas tardeeees.... que susede?
ah si? un extorsionador le pide plata por no publicar su informacion privada? denos su correo o datos de contacto y sus datos para hacer la denuncia en fiscalia....
Alo PDI, hay una organización ilícita comunista que habla abiertamente de extorsionar nuestras empresas capitalistas, se reúnen en tal sitio web. XD
 
Subir