我和我的同事在一个流行的网络安全工具中发现了一个重大的安全问题,出于显而易见的原因,这里将不予提及。
我们通过他们在 bugcrowd 上的错误赏金计划向该工具的供应商报告了该问题。他们将其列为 P2 问题,并为此支付了 2,000 美元。
现在大约六个月后,问题仍然没有得到解决,他们也没有给我们一个时间表。他们还告诉我们,根据他们的漏洞赏金计划条款,无论他们修复问题需要多长时间,我们都不允许公开披露该问题。更新:自报告以来,我已经对他们进行了两次跟进,对问题仍未解决这一事实表示越来越激动,而且在我看来它很可能被利用,这就是我被告知的每一次。
这个问题对我们来说并不神秘或难以发现和重现。在这类工具中,已经有大量关于这类问题的公开讨论。这让我担心他们在我们向他们报告之前就已经知道了这个问题,并支付给我们 2,000 美元的赏金来“抓住并杀死”我们的报告,即防止我们在他们修复它之前公开披露它。
我担心黑客可能会在野外利用这个问题来破坏人们的数据,而该工具的供应商允许这种情况继续下去,而不是披露或修复这个问题。
即使在该工具的现有版本中,也可以应用一种变通方法来最大程度地减少问题的影响,因此即使在发布修复程序之前,披露也可以让使用该工具的人们保护自己。因此,我越来越不愿意坐视我对这个问题的了解而不是公开披露它。
在这一点上,我很乐意将 2,000 美元的支票寄回他们的公司邮寄地址,并告诉他们接受赏金并将其推向公众,然后公开披露该问题以保护该工具的其他用户。问题在于,我们将 2,000 美元捐赠给了慈善机构——正如我们在向他们报告问题时告诉他们我们计划做的那样——所以我们再也没有钱寄回给他们了。
有人有什么建议吗?