Reportar o no reportar... Esa es la cuestión.

Hola a todos los hackers e informáticos que se mueven por el foro. Abro este tema para hablar un poco de las historias que hayáis tenido a la hora de reportar fallos de vulnerabilidad. Yo por lo general me dirijo al administrador web para intentar solucionarlo y me he llevado cada una... La más gorda fue una web que tras comentarles que tenían un fallo explotable me intentaron denunciar y me estuvieron mandando unos cuantos mails diciendo que era un criminal y sinónimos, por suerte la cosa se terminó relajando y se olvidaron de mi.
Sin embargo, no todo son malas noticias, hoy mismo he recibido un mail de una web de juegos que me gusta, y que tenía XSS, y me han respondido de maravilla y me han añadido 20.000 puntos a mi cuenta y la verdad es que esto me ha alegrado la mañana. Con gente así entran ganas de seguir buscando vulnerabilidades (y sin ellas también... ).
Me pregunto si alguien más tiene historias del estilo, espero que alguien se anime a contarlas. ¿Os han tratado bien o mal? ¿Habéis recibido recompensa o os habéis quedado en el anonimato?

Copernico.

Yo creo que siempre hay que quedarse en el anonimato, si reportas la vulnerabilidad nunca dejar nuestros datos, ya sea nombre o correo electrónico personal, y siempre hacerlo detrás de proxy.

Si te lo quieren agradecer ya puedes tener otro tipo de contacto con ellos, pero pienso que mejor nunca revelar nuestra identidad, por si acaso.

Saludos

Nope.
Siempre y cuando tengan Bug Bounty y sigas las reglas puedes reportar sin ningún riesgo. Y además es una buena fuente de ingresos

En cuanto a las webs que no tienen VRP, en mi opinión es mejor no reportar ya que has realizado una intrusión no autorizada y, obviamente, es ilegal.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Yo creo que siempre hay que quedarse en el anonimato, si reportas la vulnerabilidad nunca dejar nuestros datos, ya sea nombre o correo electrónico personal, y siempre hacerlo detrás de proxy.

Si te lo quieren agradecer ya puedes tener otro tipo de contacto con ellos, pero pienso que mejor nunca revelar nuestra identidad, por si acaso.

Saludos

Yo también tengo esa gran duda.

Por una parte, siempre desde el anonimato, reportar los fallos de seguridad a una empresa sobre su web, no esta nada mal y realmente lo agradecerán. Pero eso si, nunca invadiendo la privacidad de la compañía, de los usuarios o de la web, tan solo reportarla.

Y esta claro que tienes que ir con la mentalidad de que no vas a recibir nada a cambio por lo general, ya que sino, la cosa se puede complicar, o no, todo depende de como se lo tome el administrador, puede agradecerlo o como te ha pasado, llamarte criminal (en ese caso reviéntale la web, nah, es coña ).

Como dice Siuvert, siempre desde el anonimato y sin invadir la privacidad de la empresa y/o usuarios, no estaría mal reportarlo. Yo a veces lo hago.

Yo reporto y no me toman en cuenta espero un mes y lo exploto

Buenas a tod@s:

Yo hace un par de semanas reporté un bug en una web y me comentaron que lo pasarían al equipo de IT.

Al cabo de una semana sin recibir ninguna respuesta por su parte me puse en contacto. Me comentaron que antes de mi reporte ya lo tenían detectado con anterioridad. Sin embargo, el reporte no era ningun fallo difícil de arreglar. Con lo que con una semana, como mínimo, tenían tiempo de solucionarlo.

Con lo cual.... deja mucho que desear esa empresa en cuanto a seguridad informática por su descuido y poco interés por solucionar una vulnerabilidad que afectaba a la privacidad del usuario.