Dzień dobry.
Wybrałem dział, bo tytułowy błąd odnosi się do jednego ze znanych OS.
Czy jeżeli kolega ;) znalazł krytyczny błąd bezpieczeństwa w jednym z popularnych linuxowych distro, a oni mu odpisali, że chętnie poznają szczegóły, ale nie prowadzą programu bug bounty, to koledze coś może grozić za nagranie filmu na youtube z instrukcją "jak złamać XYZ"?
A sprawdzał czy np. zeroday initiative nie da za to jakiegoś bounty?
Za krytyczny błąd bezpieczeństwa w jednym z popularnych linuxowych distro (o ile faktycznie nim jest) sporo organizacji będzie chciało zapłacić. Kolejne to np. http://zerodium.com/program.html czy https://www.beyondsecurity.com/ssd.html.
Jeżeli to jakiś kompletne RCE to od razu wal do https://twitter.com/thegrugq, znajdzie ci kupca (i przy okazji wybierasz którym konkretnie służbom nie chcesz sprzedać :P).
Możesz też (za darmo) po prostu przekazać informację autorom, przesłać ją na listę mailową oss-security albo przekazać komuś kto za ciebie zrobi disclosure (amerykański CERT/CC, czy nasz polski CERT.pl).