Topic de blackapplex :

J'ai trouvé une faille sur un site très sensible et je sais pas trop quoi faire...

Supprimé
  • 1

Il y a des kheys chauds en cybersécurité?
Je fais quoi? J'envoie un mail pour tenter un bug bounty? (officiellement il n'y a pas de procédure)
Je leak l'info dans la presse? (ça pourrait faire perdre des centaines de milliers d'€ à la boite niveau marketing)
J'en fais un tweet? Un article de blog?

Evidemment je me servirai pas de la faille pour des usages malhonnêtes, dans le pire des cas je demanderai à des gens chauds en cyber sur Twitter de relayer mais sinon je sais pas trop quoi faire de l'info.
J'aime pas cette entreprise donc l'objectif est à minima de refiler l'info à des journalistes / autres qui pourront l'utiliser pour critiquer les méthodes de cette boite.

Evidemment au cas où ils acceptent le bug bounty et où ils voudraient que ça reste confidentiel, je dirai pas le nom de la boite. Mais si ils acceptent comment je peux être sûr qu'ils respectent leur parole? Et comment on fixe le prix? Ca permet d'accéder à des données sensibles et ça peut leur faire très mauvaise presse, au moins 5k ?

ça dépend, c'est webedia ?

Le 11 juillet 2021 à 21:22:12 :
Il y a des kheys chauds en cybersécurité?
Je fais quoi? J'envoie un mail pour tenter un bug bounty? (officiellement il n'y a pas de procédure)
Je leak l'info dans la presse? (ça pourrait faire perdre des centaines de milliers d'€ à la boite niveau marketing)
J'en fais un tweet? Un article de blog?

Evidemment je me servirai pas de la faille pour des usages malhonnêtes, dans le pire des cas je demanderai à des gens chauds en cyber sur Twitter de relayer mais sinon je sais pas trop quoi faire de l'info.
J'aime pas cette entreprise donc l'objectif est à minima de refiler l'info à des journalistes / autres qui pourront l'utiliser pour critiquer les méthodes de cette boite.

Evidemment au cas où ils acceptent le bug bounty et où ils voudraient que ça reste confidentiel, je dirai pas le nom de la boite. Mais si ils acceptent comment je peux être sûr qu'ils respectent leur parole? Et comment on fixe le prix? Ca permet d'accéder à des données sensibles et ça peut leur faire très mauvaise presse, au moins 5k ?

Bien plus que 5k khey, regarde le CA de l’entreprise
Paiement avant
Et tu donne une preuve du style des données sensible pour qu’ils te croient

Le 11 juillet 2021 à 21:22:12 :
Il y a des kheys chauds en cybersécurité?
Je fais quoi? J'envoie un mail pour tenter un bug bounty? (officiellement il n'y a pas de procédure)
Je leak l'info dans la presse? (ça pourrait faire perdre des centaines de milliers d'€ à la boite niveau marketing)
J'en fais un tweet? Un article de blog?

Evidemment je me servirai pas de la faille pour des usages malhonnêtes, dans le pire des cas je demanderai à des gens chauds en cyber sur Twitter de relayer mais sinon je sais pas trop quoi faire de l'info.
J'aime pas cette entreprise donc l'objectif est à minima de refiler l'info à des journalistes / autres qui pourront l'utiliser pour critiquer les méthodes de cette boite.

Evidemment au cas où ils acceptent le bug bounty et où ils voudraient que ça reste confidentiel, je dirai pas le nom de la boite. Mais si ils acceptent comment je peux être sûr qu'ils respectent leur parole? Et comment on fixe le prix? Ca permet d'accéder à des données sensibles et ça peut leur faire très mauvaise presse, au moins 5k ?

Je bosse en cybersécurité
tu les contact gentilment et tu leur dis que tu as trouvé une faille majeure sur leur site, tu leur donne pas trop de détails et tu négocie pour un bounty https://image.noelshack.com/fichiers/2017/50/1/1513020307-jesusjointtransparent.png

Le 11 juillet 2021 à 21:22:34 :
ça dépend, c'est webedia ?

Je dirai rien et ça sert à rien de demander.

Si c'est Webedia, pls, je suis prêt à acheter la faille.
On se cotise avec les kheys puis on fait 410 leurs serveurs.

Le 11 juillet 2021 à 21:25:33 :

Le 11 juillet 2021 à 21:22:12 :
Il y a des kheys chauds en cybersécurité?
Je fais quoi? J'envoie un mail pour tenter un bug bounty? (officiellement il n'y a pas de procédure)
Je leak l'info dans la presse? (ça pourrait faire perdre des centaines de milliers d'€ à la boite niveau marketing)
J'en fais un tweet? Un article de blog?

Evidemment je me servirai pas de la faille pour des usages malhonnêtes, dans le pire des cas je demanderai à des gens chauds en cyber sur Twitter de relayer mais sinon je sais pas trop quoi faire de l'info.
J'aime pas cette entreprise donc l'objectif est à minima de refiler l'info à des journalistes / autres qui pourront l'utiliser pour critiquer les méthodes de cette boite.

Evidemment au cas où ils acceptent le bug bounty et où ils voudraient que ça reste confidentiel, je dirai pas le nom de la boite. Mais si ils acceptent comment je peux être sûr qu'ils respectent leur parole? Et comment on fixe le prix? Ca permet d'accéder à des données sensibles et ça peut leur faire très mauvaise presse, au moins 5k ?

Je bosse en cybersécurité
tu les contact gentilment et tu leur dis que tu as trouvé une faille majeure sur leur site, tu leur donne pas trop de détails et tu négocie pour un bounty https://image.noelshack.com/fichiers/2017/50/1/1513020307-jesusjointtransparent.png

Et du coup sur le process en terme de pognon, tout se base sur la confiance? On négocie la somme, ils disent "ok", je leur dis l'info et ils payent?
Et si ils payent pas je précise qu'ils ont pas payé pour que plus personne tente de bug bounty avec eux?

De mon point de vue la faille est vraiment débile, je suis même pas expert en cyber mais j'ai les bonnes bases et c'est juste avec ça que j'ai pu réussir à accéder à des infos très sensibles. Virtuellement (avec quelques conditions spécifiques) ça permet d'accéder à toutes leurs infos ultrasensibles, et à minima ça permet d'accéder à quelques données sensibles.
C'est pour ça que je sais pas tellement combien ça vaut non plus. L'entreprise est valorisé à plus d'un milliard mais son chiffre d'affaire est plutot entre 50 millions et 400 millions (je faire large volontairement)

Le 11 juillet 2021 à 21:24:06 :

Le 11 juillet 2021 à 21:22:12 :
Il y a des kheys chauds en cybersécurité?
Je fais quoi? J'envoie un mail pour tenter un bug bounty? (officiellement il n'y a pas de procédure)
Je leak l'info dans la presse? (ça pourrait faire perdre des centaines de milliers d'€ à la boite niveau marketing)
J'en fais un tweet? Un article de blog?

Evidemment je me servirai pas de la faille pour des usages malhonnêtes, dans le pire des cas je demanderai à des gens chauds en cyber sur Twitter de relayer mais sinon je sais pas trop quoi faire de l'info.
J'aime pas cette entreprise donc l'objectif est à minima de refiler l'info à des journalistes / autres qui pourront l'utiliser pour critiquer les méthodes de cette boite.

Evidemment au cas où ils acceptent le bug bounty et où ils voudraient que ça reste confidentiel, je dirai pas le nom de la boite. Mais si ils acceptent comment je peux être sûr qu'ils respectent leur parole? Et comment on fixe le prix? Ca permet d'accéder à des données sensibles et ça peut leur faire très mauvaise presse, au moins 5k ?

Bien plus que 5k khey, regarde le CA de l’entreprise
Paiement avant
Et tu donne une preuve du style des données sensible pour qu’ils te croient

Le truc c'est que si je donne une preuve, eux ne peuvent vérifier cette preuve qu'en utilisant la faille à cause des protocoles qu'ils utilisent. Enfin presque, en tout cas c'est très compliqué de donner la preuve sans donner la faille :/
Paiement avant moi ça me va si ils acceptent, je vais tenter de négocier ça ouais

Plus de 5k ça me semble abusé si je prends Reddit par exemple: https://hackerone.com/reddit?type=team , et Reddit est un peu plus riche que la boite de mon sujet.
Sachant à la fois que la faille est simple de mon point de vue (c'est surtout des mauvais protocoles), et en même temps ils l'ont pas vu et j'ai pu l'utiliser dans les faits donc bon

Je vais négocier 10k autant pour l'aspect marketing qui peut être destructeur et pour l'exemple de reddit ils proposent 10k pour l'accès à des infos sensibles et c'est ce que j'ai. Si ils paient 10k pour une faille aussi simple ça me fera rire et je serai bien content évidemment. Mais de toute façon ça leur couterait davantage en mauvaise presse.

Bon j'ai envoyé le mail, je décris l'ampleur de la faille et je leur demande si ils ont une politique de bug bounty.
Si d'autres ont déjà négocié un bug bounty ça m'intéresse mais on verra déjà si ils disent oui. Sinon tant pis je refilerai les infos à des journalistes et/ou à des responsables politiques (vu l'impact ça peut aussi les intéresser)
  • 1

Données du topic

Auteur
blackapplex
Date de création
11 juillet 2021 à 21:22:12
Date de suppression
3 août 2021 à 18:39:56
Supprimé par
Auteur
Nb. messages archivés
12
Nb. messages JVC
12
En ligne sur JvArchive 156