Как продать уязвимость хостеру?

С точки зрения законодательства это не навязывание услуг. Кстати, с точки зрения здравого смысла тоже - это предложение услуги.

Непонятно другое. Во-первых на хрена им платить если вы можете быть обыкновенным кидалой.

Во-вторых сколько тут можно просить, чтобы был смысл вообще заморачиваться?

Предложите им договор о тестировании их сервера. Укажите там, что они просят вас его взломать.

И предлагают за это столько-то бабла.

Wadim верно советует - только договор, в котором пропишите уровень угрозы, который вы сможете продемонстрировать и сумму оплаты

Для чего Вам нужен этот головняк?! Если кто-то что-то уведет, то первый в списке подозреваемых будете Вы.

«Когда зайдёшь в хату, скажи обитателям: "Здорово, бродяги!". Будь осторожен, в хате может находится наседка (стукач). Отношения между арестантами на спецу неплохие, все живут одной семьёй.»

Ахаха. Я так и представляю подобную ситуацию в оффлайне:

- Пацаны, у вас на воротах шиномонтажа замок слабенький, я могу его вскрыть ночью и подрезать оборудование. Недоработка у вас! Чо мне заплатите, чтобы я рассказал? Сказать сначала? Директор подумает? А КАКИЕ ГАРАНТИИ, Я - СЕРЬЕЗНЫЙ ЧЕЛОВЕК??? Что говорите? Согласен ли я на дабл пенетрейшн? ДА-ДА!!!

Даже могу представить как брови ТС при этом диалоге смешно бы прыгали.

P.S. Имхо, надо ломать. Не сломаешь - не пацан. Не поверят, не заплатят. Респектабельные бизнесмены доказывают не словом, а делом.

P.P.S. regname, как домены воруются? Тоже пенетрейшн тесты проводите? Дабл пенетрейшн?

Одно дело, когда замок хиленький и его можно срезать, а другое, когда есть открытый черный ход и про него хозяин не знает. Улавливаете разницу между преступлением и владением информацией?

Правильно ли я понимаю, что ТС предлагает продать информацию об открытом черном ходе (бэкдоре)? Тем самым проведя дабл пенетрейшн тест?

Некоторые ДЦ за скан портов серверы отключают. Есть дела, включая РФ, где пенетрейшн тест рассматривался как взлом. Лень гуглить пруфы.

Хактивисты уже давно потеряли связь с реальностью. Одно дело, когда компании делают открытые программы грантов по пенетрейшн тестам (с четкими условиями), другое дело, когда это инициатива школоло. Причем школоло искренне уверен, что он в пенсне, хотя девиантность на лицо.

P.S. К слову, я выкупал уязвимости своих сервисов, по собственной инициативе. Но если бы меня кто-то бы на это вынудил (вопреки моему желанию) и начал шантаж - ни копейки бы не дал, а попробовал бы устроить легальные последствия для предприимчивого дельца. А все почему? Потому что когда псу нечего делать, он яйца лижет. А не дабл пентрейшн тесты делает.

Rodnoi:
Правильно ли я понимаю, что ТС предлагает продать информацию об открытом черном ходе (бэкдоре)? Тем самым проведя дабл пенетрейшн тест?



Некоторые ДЦ за скан портов серверы отключают. Есть дела, включая РФ, где пенетрейшн тест рассматривался как взлом. Лень гуглить пруфы.

Хактивисты уже давно потеряли связь с реальностью. Одно дело, когда компании делают открытые программы грантов по пенетрейшн тестам (с четкими условиями), другое дело, когда это инициатива школоло. Причем школоло искренне уверен, что он в пенсне, хотя девиантность на лицо.

P.S. К слову, я выкупал уязвимости своих сервисов, по собственной инициативе. Но если бы меня кто-то бы на это вынудил (вопреки моему желанию) и начал шантаж - ни копейки бы не дал, а попробовал бы устроить легальные последствия для предприимчивого дельца. А все почему? Потому что когда псу нечего делать, он яйца лижет. А не дабл пентрейшн тесты делает.

Причем сдесь тесты, опять же вы видите в ТСе хакера, который взломал хостинг и требует бабло, за то, чтоб сказать, как он это сделал . ТС написал, что случайно обнаружил дыру. Соответственно он владеет информацией, которой хостер не владеет. Хостер готов заплатить за информацию ДОБРОВОЛЬНО, судя из ответа поддержки, но конечно платить в перед за кота в мешке не собирается. ТС же в свою очередь боится, что после предоставления информации, хостер не заплатит.

Я не знаю с какого перепугу вы тут приплели вымогательство, тесты, взломы и все прочее!

Крайне не рекомендую так делать.

Нет, лучше Вы не сделаете и никого не "спасёте". Если там сотрудники фиговые, от Ваших указаний они квалификацию не изменят. И начальство о них мнение не изменит за редким исключением если уязвимость была создана специально, что бы их (начальство) поиметь.

Нет, Вы не заработаете на этом. К сожалению стоимость уязвимости измеряется в потерях от неё и это способны рассчитать только очень крупные айти-конторы и то сильно в свою сторону.

Вам даже "спасибо" скажут таким тоном, что типа это Вы в этом виноваты.

Существует довольно высокая вероятность создания себе самому проблем. Уязвимость мог обнаружить кто-то ещё и воспользоваться ею в корыстных целях. У меня такой случай был и закончился уголовным делом. И, поверьте, аргумент "зачем мне в таком случаи сообщать об уязвимости, если я её использовал для своих целей??" - для следователей совсем не аргумент. В бизнесе повесить на кого угодно свои убытки - нормальная практика. И они повесят на Вас если будет малейшая возможность. Ситуацию с ихними "делами" Вы не знаете - может их там со всех сторон атакуют хаккеры и они Вас встретят с распростертыми объятиями: "ух ты, иди сюда, наш родной". Технические специалисты конторы буду настроены крайне агрессивно против Вас - ведь Вы, фактически, поймали их на безмозглости, поэтому будут своему начальству всякие гадости про Вас говорить выгораживая себя. "А вот в прошлом году, помните, отвалился redis, то этот куцхакер тоже лазил, его апишник в логах".

Единственный случай когда сообщают об уязвимости - попиариться если контора более-менее известная. Пишем в контору, а потом в СМИ. СМИ запрашивает подтверждения у конторы и она вынуждена подтвердить. Цветы, овации и хороший пункт в резюме "да, я тот самый, который".

Если пиар не Ваш случай - очень советую так больше не делать. В этот раз, конечно, уже начали, но в следующий раз лучше не надо. Проверено 100%.

---------- Добавлено 06.02.2014 в 14:11 ----------

+100500. Я бы сказал, даже, что это чуть менее, чем все дела. Настоящих спецов никто ловить не будет (если, конечно, речь идет не о терроре или большом утыренном бабле). Ловят, обычно, случайных, кто "нафорумепрочитал и зашелпотыкать". И за такое "тыкание" вешают на них по полной под самыми нелепыми предлогами.

Это не я прилепил. Это адекватные юридические риски. И кто советует обратное, либо о них не в курсе, либо уже "по ту сторону" сам.

Пару секунд в гугле. Я уверен, что примеров множество, так как сам о них не раз читал.

У клетьку, как жирафу 🤪