Есть компания, которая занимается решениями для безопасности (устройства для генерации одноразовых паролей, решения для банковской безопасности). Нашел дырку в их майнстримовом продукте.
Как вы думаете, сколько денег лучше запросить за информацию? И как сказать, чтобы не обиделись?
> Есть компания, которая занимается решениями для безопасности (устройства > для генерации одноразовых паролей, решения для банковской безопасности). > Нашел дырку в их майнстримовом продукте. > > Как вы думаете, сколько денег лучше запросить за информацию? И как > сказать, чтобы не обиделись?
ну так то зависит от очень многого. грубо говоря ну 5 тыщ норм.
Здравствуйте, Аноним, Вы писали:
А>Есть компания, которая занимается решениями для безопасности (устройства для генерации одноразовых паролей, решения для банковской безопасности). Нашел дырку в их майнстримовом продукте.
А>Как вы думаете, сколько денег лучше запросить за информацию? И как сказать, чтобы не обиделись?
Денег вряд ли дадут, скорее накатают ментам (своим коллегам бывшим) чтоб вас проверили, зачем вы ковырялись в их системе и прочее...
Работал в этой системе.
Здравствуйте, Аноним, Вы писали:
А>Есть компания, которая занимается решениями для безопасности (устройства для генерации одноразовых паролей, решения для банковской безопасности). Нашел дырку в их майнстримовом продукте.
А>Как вы думаете, сколько денег лучше запросить за информацию? И как сказать, чтобы не обиделись?
Вообще идея бесперспективная, если авторы сами не инициируют такую деятельность, но можно попробовать сделать так:
— написать письмо с предложением за небольшую сумму поискать дыры в их системе, само собой, деньги платятся только в случае успеха
— если согласятся — поискать и найти, если не согласятся — забить.
изначальный вариант тянет на рекет
можно ещё рассказать за так, а потом попробовать выцыганить у них скидку на их продукт, это уже более реально
А>>Есть компания, которая занимается решениями для безопасности (устройства для генерации одноразовых паролей, решения для банковской безопасности). Нашел дырку в их майнстримовом продукте. А>>Как вы думаете, сколько денег лучше запросить за информацию? И как сказать, чтобы не обиделись?
C>Денег вряд ли дадут, скорее накатают ментам (своим коллегам бывшим) чтоб вас проверили, зачем вы ковырялись в их системе и прочее... C>Работал в этой системе.
Ну... не знаю. В свое время контора "Вычислительные силы" это WebMoney которая делала. Заплатила мне 50$ за то что я предоставил им распознавалку их капч.
Я тогда этим увлекался. Но это очень давно было.
Здравствуйте, Pzz, Вы писали:
Pzz>Здравствуйте, Аноним, Вы писали:
А>>Как вы думаете, сколько денег лучше запросить за информацию? И как сказать, чтобы не обиделись?
Pzz>Я длышал краем уха, кто-то вроде уголовное дело в отношении себя получил за такую вот находку. Так что вы с этим поосторожнее
Интересно девки пляшут. Например, я нашел уязвимость в некоем продукте и теперь желаю прославиться и поделиться результатами своих исследований со всем миром, написав статью и направив ее в профильные интернет-издания. Однако, из уважения к компании, выпустивший продукт, я готов остаться безвестным и продать им эксклюзивные права на результаты моих исследований, включая права на публикацию статьи.
Вопрос: за что же меня привлекать?
1. Пишем некий софт, называем его, к примеру, subj
2. Внутрь кладём описалова продуктов с их версиями, где мы нашли дыры.
2.1 Софтина просит на вход ехе-шник, по внутренней базе смотрим, чё это, и выдаём вердикт.
3. Продаём триал!
4. Конторы, которые находят нашим триальным софтом свои дыры, возможно, покупают для будущих поисков.
5. Потом, правда, они ничего не находят, но деньги уже освоены
Не повторяйте это дома!
Кстати, серъёзно, типичных ошибок программистов из-за которых появляются дыры — много. Можно написать программу с неким анализатором дыр. Да поди есть уже такие?
Здравствуйте, Аноним, Вы писали:
А>Есть компания, которая занимается решениями для безопасности (устройства для генерации одноразовых паролей, решения для банковской безопасности). Нашел дырку в их майнстримовом продукте.
А>Как вы думаете, сколько денег лучше запросить за информацию? И как сказать, чтобы не обиделись?
Попробуй продать хакерам. Банкирам тебя проще в ментовку сдать.
Здравствуйте, cocacola, Вы писали:
C>Денег вряд ли дадут, скорее накатают ментам (своим коллегам бывшим) чтоб вас проверили, зачем вы ковырялись в их системе и прочее...
Накапать ментам -- можно. Но а что они проверят, если нарушения закона не было? Никто не запрещает изучать в академических целях.
Разве что попытаться взять на понт...
А так, для конторы занимающейся безопасностью -- дыра может очень сильно навредить. Ведь информация может попасть в руки плохим парням, а они то знают что с ней делать.
C>Работал в этой системе.