Якщо у вас є інформація про вразливість і ви думаєте скільки подяки за неї ви зможете отримати, то ні в якому разі не беріть приклад з випадків з такими компаніями, як Київстар, МТС, ПриватБанк (вже розвінчано: https://habrahabr.ru/post/306694/), та й багато інших. Адже найгірше, у що можна оцінити вартість вразливості, це оплата послугами компанії.
Після моєї недавньої статті: «Чому в Україні немає білих хакерів або історія злому Київстар», яка потрапила в розсилку «Найцікавіше на Geektimes», я уважно ознайомився з коментарями і поспілкувавшись з деякими моїми читачами, я зрозумів, що натиснув на хвору мозоль.
Вразливість однозначно коштує грошей, в гіршому випадку тих, які може втратити компанія.
У 2015 році втрати від витоку даних у середньостатистичній компанії оцінюються приблизно в 3.8 мільйона доларів згідно зі звітом Ponemon. & IBM.
Мінімальну ж оцінку вразливості ви можете подивитися в публічних Bug Bounty програмах. Це ті рамки від і до, в яких варто мислити.
Важливо зрозуміти, що оцінка вразливості без належного аналізу - це суто суб'єктивний процес, адже кожен скаже свою цифру зі стелі. Це чимось схоже на оцінку предметів мистецтва. Кожен предмет (вразливість):
- абсолютно унікальний і неповторний
- підробити не можливо
- є в єдиному числі
- для когось не стоїть і гроша, а хтось готовий заплатити мільйони.
Для тих хакерів, які далекі від цього розуміння і придумали Bug Bounty програми, де оголосили фіксований прейскурант на описані типи вразливостей і поставили це на потік
Задумайтеся, Малевич адже не знав скільки буде коштувати його квадрат, коли його малював.
Адже досі багато наївних хакерів несуть свою творчість і очікують хоч якоїсь подяки, в той час як на їхні дари нерозуміло дивиться керівництво, поки IT-відділ, закінчуючи третю партію в доту лівою ногою фіксит порожній, який викотили з думками «мені за це не доплачують».
Особливо розумні керівники вже оптимізували витрати на зарплати тестувальників, запустивши під баунті програму, ввели штрафи і премії, прив'язавши їх до кількості знайдених багів багатотисячною армією безкоштовних тестувальників-хакерів.
Не всі люди технічного складу розуму володіють навичками продажів і можуть провести переговори з топ-менеджментом, тому якщо у компанії, в системі якої ви знайшли вразливість, є відкрита програма винагороди, і ви згодні на озвучену ціну - тоді можете сміливо репортувати.
Якщо ж програми немає, тоді призначайте свою ціну, чому ні? Це ваш час і тільки ви можете його оцінити гідно. Зрештою, є тіньовий ринок і різного роду форуми, де в достатній анонімності ви зможете продати інформацію за хороші гроші.
P.S. продаж відкритого і доступного для всіх інформації не є порушенням закону
