[Bejjan]

Säg att man, rent teoretiskt, av en slump skulle ha hittat ett jättesäkerhetshål hos två välkända Video-on-demandsidor som innebar att man fick tillgång till allt innehåll utan kostnad, och förmodligen även kan dra pengar från vilken kunds konto man vill. Finns det någon poäng i att berätta det för dem? Jag menar, om man nu (rent teoretiskt) skulle ha hittat ett sådant säkerhetshål så kanske man dessutom har begått ett brott, och löper en viss risk att bli polisanmäld. Men samtidigt kanske de blir väldigt tacksamma och känner för att skänka en symbolisk summa pengar till personen i fråga.

Ledsen om det här är ett lite luddigt exempel, och om det egentligen inte hör hemma här på forumet.
Moderatorer är välkomna att ta bort tråden om de anser den den vara opassande

[Thomas]

Citat:

Originally posted by Bejjan@Mar 4 2005, 00:26
Säg att man, rent teoretiskt, av en slump skulle ha hittat ett jättesäkerhetshål hos två välkända Video-on-demandsidor som innebar att man fick tillgång till allt innehåll utan kostnad, och förmodligen även kan dra pengar från vilken kunds konto man vill.

Hehe du har nog hittat ett sådant känns det som

Maila dom och berätta att dom har problem i systemet.

Thomas

[Joel]

Hur mycket vill du ha för att säga det till mig istället för dem? :lol:

[Bejjan]

Haha, hur mycket bjuder du?

[Marcus]

Beror ju till stor del på vad personen skulle gjort för att "hittat" säkerhetshålet. Rent generellt kan det ju kanske vara bra att berätta för dem istället för att de upptäcker något opassande och tar det vidare den vägen. Sköter man det snyggt kan det ju också möjligen eventuellt öppna för framtida samarbeten eller kommersiella uppdrag.

Angående skänkandet av pengar för att någon hittat ett säkerhetshål är nog mest önsketänkande och brukar vanligtvis inte förekomma. Delvis beror det på att företagen oftast inte vill låtsas om dessa säkerhetshål överhuvudtaget. Betalar man ut pengar (vilket syns i bokföringen), om än symboliskt, så är det ett officiellt erkännande på att ett fel funnits. Möjligen skulle de kanske kunna erbjuda rabatterad tillgång till deras tjänst eller liknande som inte skulle kosta dem några pengar.

För det mesta ligger ju dessutom säkerheten i ansvar hos någon teknisk administratör som inte har något inflytande gällande utbetalningar. Att för denne erkänna för ovanstående chef att ett fel finns, om det inte är absolut nödvändigt, som han/hon egentligen borde se till inte funnits från början är föga troligt.

Att informera dem om säkerhetsbristen och på så sätt bespara dem arbete gör i sig knappast att de polisanmäler någon. Som sagt beror det nog till stor del på vad som gjorts.

[Bejjan]

Nej, alltså, jag var väl inte riktigt fullt så seriös angående pengarna, det var mest en metafor för någon form av ersättning.

[koala]

En kompis till mig hittade ett säkerhetshål på en filmsida. Eller rättare sagt, de hade inte någon form av inloggning till sitt admin-system. Och en sökning i google på "<censur> site:.se" tog honom direkt till deras adminsystem. Jag mailade dem och talade om detta, men de har inte brytt sig om det. <Censur> ska egentligen vara en rysk filmtitel som jag utelämnar för att inte någon illvillig läsare ska utnyttja detta.

[myapp]

Det där är ett farligt område. Det finns många exempel på hackers som hittat säkerhetshål och sen velat ha betalt för att berätta hur de ska täppa igen dem. Är det okey för en hacker att aktivt försöka bryta sig in och sen använda informationen som utpressning mot företaget? Det är bara ett annat sätt att se det.

Mitt råd är att ge fan. Lämna ett anonymt tips på sin höjd. Förvänta dig inga pengar.

Om du för i uppdrag att kolla efter säkerhetshål är det en annan femma. Men då måste du verkligen få det dokumenterat.

Ett exempel är en kille som sägs (han hävdar det spray hävdade motsattsen) ha fått i uppdrag att göra en säkerhetskontroll utav spray och hittade säkerhetshål och ville sen ha pengar för det. På mötet med spray satt civilsnuttar och efter mötet haffade de honom på tunnelbannan.

Det finns många andra exempel på datorkunniga killar som bara velat väl men vill tjäna pengar på sin kunskap men som råkat illa ut.

Lycka till och berätta gärna hur det går.

[Marcus]

Citat:

Originally posted by myapp@Mar 5 2005, 00:17
Ett exempel är en kille som sägs (han hävdar det spray hävdade motsattsen) ha fått i uppdrag att göra en säkerhetskontroll utav spray och hittade säkerhetshål och ville sen ha pengar för det. På mötet med spray satt civilsnuttar och efter mötet haffade de honom på tunnelbannan.

Exemplet med "Joel" är ganska extremt. Men visst, är ju ett känsligt område så självklart bör man sköta det snyggt.

[mypay]

"Jag surfade in på er sida och då jag sett samma säkerhetsmiss på andra sidor så tänkte jag se om ni hade samma.. Och det hade ni.. Jag har inte utnyttjat det hela utan kollade bara för att kunna tipsa er om det.

Det går alltså att ta sig förbi ert inloggningssystem och på så vis få allt ert material gratis genom att man .......... - ni kanske vill fixa det

vänliga hälsningar Sven Svensson"


jag tror inte att någon polisanmäler...