J'ai trouvé une faille sur un site très sensible et je sais pas trop quoi faire...

Il y a des kheys chauds en cybersécurité?
Je fais quoi? J'envoie un mail pour tenter un bug bounty? (officiellement il n'y a pas de procédure)
Je leak l'info dans la presse? (ça pourrait faire perdre des centaines de milliers d'€ à la boite niveau marketing)
J'en fais un tweet? Un article de blog?

Evidemment je me servirai pas de la faille pour des usages malhonnêtes, dans le pire des cas je demanderai à des gens chauds en cyber sur Twitter de relayer mais sinon je sais pas trop quoi faire de l'info.
J'aime pas cette entreprise donc l'objectif est à minima de refiler l'info à des journalistes / autres qui pourront l'utiliser pour critiquer les méthodes de cette boite.

Evidemment au cas où ils acceptent le bug bounty et où ils voudraient que ça reste confidentiel, je dirai pas le nom de la boite. Mais si ils acceptent comment je peux être sûr qu'ils respectent leur parole? Et comment on fixe le prix? Ca permet d'accéder à des données sensibles et ça peut leur faire très mauvaise presse, au moins 5k ?

Le 11 juillet 2021 à 21:22:12 :
Il y a des kheys chauds en cybersécurité?
Je fais quoi? J'envoie un mail pour tenter un bug bounty? (officiellement il n'y a pas de procédure)
Je leak l'info dans la presse? (ça pourrait faire perdre des centaines de milliers d'€ à la boite niveau marketing)
J'en fais un tweet? Un article de blog?

Evidemment je me servirai pas de la faille pour des usages malhonnêtes, dans le pire des cas je demanderai à des gens chauds en cyber sur Twitter de relayer mais sinon je sais pas trop quoi faire de l'info.
J'aime pas cette entreprise donc l'objectif est à minima de refiler l'info à des journalistes / autres qui pourront l'utiliser pour critiquer les méthodes de cette boite.

Evidemment au cas où ils acceptent le bug bounty et où ils voudraient que ça reste confidentiel, je dirai pas le nom de la boite. Mais si ils acceptent comment je peux être sûr qu'ils respectent leur parole? Et comment on fixe le prix? Ca permet d'accéder à des données sensibles et ça peut leur faire très mauvaise presse, au moins 5k ?

Bien plus que 5k khey, regarde le CA de l’entreprise
Paiement avant
Et tu donne une preuve du style des données sensible pour qu’ils te croient

Le 11 juillet 2021 à 21:22:12 :
Il y a des kheys chauds en cybersécurité?
Je fais quoi? J'envoie un mail pour tenter un bug bounty? (officiellement il n'y a pas de procédure)
Je leak l'info dans la presse? (ça pourrait faire perdre des centaines de milliers d'€ à la boite niveau marketing)
J'en fais un tweet? Un article de blog?

Evidemment je me servirai pas de la faille pour des usages malhonnêtes, dans le pire des cas je demanderai à des gens chauds en cyber sur Twitter de relayer mais sinon je sais pas trop quoi faire de l'info.
J'aime pas cette entreprise donc l'objectif est à minima de refiler l'info à des journalistes / autres qui pourront l'utiliser pour critiquer les méthodes de cette boite.

Evidemment au cas où ils acceptent le bug bounty et où ils voudraient que ça reste confidentiel, je dirai pas le nom de la boite. Mais si ils acceptent comment je peux être sûr qu'ils respectent leur parole? Et comment on fixe le prix? Ca permet d'accéder à des données sensibles et ça peut leur faire très mauvaise presse, au moins 5k ?

Je bosse en cybersécurité
tu les contact gentilment et tu leur dis que tu as trouvé une faille majeure sur leur site, tu leur donne pas trop de détails et tu négocie pour un bounty

Le 11 juillet 2021 à 21:22:34 :
ça dépend, c'est webedia ?

Je dirai rien et ça sert à rien de demander.

Le 11 juillet 2021 à 21:25:33 :

Le 11 juillet 2021 à 21:22:12 :
Il y a des kheys chauds en cybersécurité?
Je fais quoi? J'envoie un mail pour tenter un bug bounty? (officiellement il n'y a pas de procédure)
Je leak l'info dans la presse? (ça pourrait faire perdre des centaines de milliers d'€ à la boite niveau marketing)
J'en fais un tweet? Un article de blog?

Evidemment je me servirai pas de la faille pour des usages malhonnêtes, dans le pire des cas je demanderai à des gens chauds en cyber sur Twitter de relayer mais sinon je sais pas trop quoi faire de l'info.
J'aime pas cette entreprise donc l'objectif est à minima de refiler l'info à des journalistes / autres qui pourront l'utiliser pour critiquer les méthodes de cette boite.

Evidemment au cas où ils acceptent le bug bounty et où ils voudraient que ça reste confidentiel, je dirai pas le nom de la boite. Mais si ils acceptent comment je peux être sûr qu'ils respectent leur parole? Et comment on fixe le prix? Ca permet d'accéder à des données sensibles et ça peut leur faire très mauvaise presse, au moins 5k ?

Je bosse en cybersécurité
tu les contact gentilment et tu leur dis que tu as trouvé une faille majeure sur leur site, tu leur donne pas trop de détails et tu négocie pour un bounty

Et du coup sur le process en terme de pognon, tout se base sur la confiance? On négocie la somme, ils disent "ok", je leur dis l'info et ils payent?
Et si ils payent pas je précise qu'ils ont pas payé pour que plus personne tente de bug bounty avec eux?

Le 11 juillet 2021 à 21:24:06 :

Le 11 juillet 2021 à 21:22:12 :
Il y a des kheys chauds en cybersécurité?
Je fais quoi? J'envoie un mail pour tenter un bug bounty? (officiellement il n'y a pas de procédure)
Je leak l'info dans la presse? (ça pourrait faire perdre des centaines de milliers d'€ à la boite niveau marketing)
J'en fais un tweet? Un article de blog?

Evidemment je me servirai pas de la faille pour des usages malhonnêtes, dans le pire des cas je demanderai à des gens chauds en cyber sur Twitter de relayer mais sinon je sais pas trop quoi faire de l'info.
J'aime pas cette entreprise donc l'objectif est à minima de refiler l'info à des journalistes / autres qui pourront l'utiliser pour critiquer les méthodes de cette boite.

Evidemment au cas où ils acceptent le bug bounty et où ils voudraient que ça reste confidentiel, je dirai pas le nom de la boite. Mais si ils acceptent comment je peux être sûr qu'ils respectent leur parole? Et comment on fixe le prix? Ca permet d'accéder à des données sensibles et ça peut leur faire très mauvaise presse, au moins 5k ?

Bien plus que 5k khey, regarde le CA de l’entreprise
Paiement avant
Et tu donne une preuve du style des données sensible pour qu’ils te croient

Le truc c'est que si je donne une preuve, eux ne peuvent vérifier cette preuve qu'en utilisant la faille à cause des protocoles qu'ils utilisent. Enfin presque, en tout cas c'est très compliqué de donner la preuve sans donner la faille :/
Paiement avant moi ça me va si ils acceptent, je vais tenter de négocier ça ouais

Plus de 5k ça me semble abusé si je prends Reddit par exemple: https://hackerone.com/reddit?type=team , et Reddit est un peu plus riche que la boite de mon sujet.
Sachant à la fois que la faille est simple de mon point de vue (c'est surtout des mauvais protocoles), et en même temps ils l'ont pas vu et j'ai pu l'utiliser dans les faits donc bon

Je vais négocier 10k autant pour l'aspect marketing qui peut être destructeur et pour l'exemple de reddit ils proposent 10k pour l'accès à des infos sensibles et c'est ce que j'ai. Si ils paient 10k pour une faille aussi simple ça me fera rire et je serai bien content évidemment. Mais de toute façon ça leur couterait davantage en mauvaise presse.