Konsekwencje ujawnienia błędów bezpieczeństwa

0

Dzień dobry.

Wybrałem dział, bo tytułowy błąd odnosi się do jednego ze znanych OS.

Czy jeżeli kolega ;) znalazł krytyczny błąd bezpieczeństwa w jednym z popularnych linuxowych distro, a oni mu odpisali, że chętnie poznają szczegóły, ale nie prowadzą programu bug bounty, to koledze coś może grozić za nagranie filmu na youtube z instrukcją "jak złamać XYZ"?

0

A sprawdzał czy np. zeroday initiative nie da za to jakiegoś bounty?

0

Za krytyczny błąd bezpieczeństwa w jednym z popularnych linuxowych distro (o ile faktycznie nim jest) sporo organizacji będzie chciało zapłacić. Kolejne to np. http://zerodium.com/program.html czy https://www.beyondsecurity.com/ssd.html.

Jeżeli to jakiś kompletne RCE to od razu wal do https://twitter.com/thegrugq, znajdzie ci kupca (i przy okazji wybierasz którym konkretnie służbom nie chcesz sprzedać :P).

Możesz też (za darmo) po prostu przekazać informację autorom, przesłać ją na listę mailową oss-security albo przekazać komuś kto za ciebie zrobi disclosure (amerykański CERT/CC, czy nasz polski CERT.pl).

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0