Ich habe kürzlich in meiner Freizeit eine große Sicherheitslücke (SQL-Injection) in einem meiner Firmenprojekte entdeckt. Ich arbeite dort als Entwickler, nicht als Sicherheitsforscher, aber nachdem ich viel entwickelt habe, weißt du, wo du nach Schwachstellen suchen musst :)
Da es sich um ein großes Unternehmen handelt, arbeite ich nicht wirklich an dem gefährdeten Projekt, und niemand, den ich kenne, arbeitet daran.
Um die Schwachstelle zu melden, habe ich das öffentlich zugängliche „Responsible Disclosure“-Programm verwendet. Es ist im Grunde eine Möglichkeit, eine Schwachstelle zu melden, ihnen eine angemessene Zeit zu geben, sie zu beheben und dafür anerkannt zu werden. Mir sind keine anderen Prozesse innerhalb des Unternehmens bekannt, um Schwachstellen zu melden.
Ich war jedoch überrascht festzustellen, dass Mitarbeiter vom „Programm zur verantwortungsvollen Offenlegung“ in Bezug auf die Belohnung ausgeschlossen sind (d. h. auf der Website des Offenlegungsprogramms als Beitragender aufgeführt zu werden und/oder eine finanzielle Entschädigung zu erhalten).
Einerseits kann es zu Interessenkonflikten kommen. Mitarbeiter, die an Projekten arbeiten, könnten absichtlich Sicherheitslücken hinzufügen, um später die Belohnung einzufordern, oder sich mit Kollegen dazu verschwören. Und es ist wahrscheinlich im besten Interesse des Mitarbeiters, Sicherheitsprobleme zu melden, da diese den Ruf des Unternehmens beeinträchtigen und im schlimmsten Fall sogar seinen Job kosten können.
Andererseits spielt es keine Rolle, wo der Mitarbeiter arbeitet, wenn die Schwachstelle außerhalb der Uhr entdeckt wird. Belohnungen könnten Mitarbeiter ermutigen, außerhalb der Uhr nach Schwachstellen zu suchen, was dem Unternehmen zugute kommt, indem es Sicherheitsprobleme beseitigt und nur für die Recherche bezahlt, wenn tatsächliche Probleme gefunden werden. Mitarbeiter suchen möglicherweise auch eher nach Sicherheitsproblemen bei anderen Unternehmen, die Erkenntnisse belohnen.
Ich beschwere mich nicht darüber, dass ich nicht belohnt wurde. Ich suche gerne nach Sicherheitsproblemen und es hat schon Spaß gemacht und meine Arbeit ist großartig. Aber ich versuche zu verstehen, was hinter dieser Politik steckt und ob das in der Branche üblich ist.
Die allgemeine Richtlinie lautet: _ nein, _ Unternehmen zahlen keine Mitarbeiter für das Finden von Fehlern, da einige Idioten dies als Ermutigung zum Erstellen von Fehlern ansehen, die sie später "finden" und die Belohnung dafür einfordern können.
Das Finden und Beheben von Fehlern gehört einfach zu Ihrem Job. Sie werden bereits für diese Zeit bezahlt.
Wenn Sie wirklich das Bedürfnis haben, dafür belohnt zu werden, denken Sie daran, dass das Erkennen und Beheben eines schwerwiegenden Problems auf Ihrer Jahresendbewertung wunderbar aussehen wird.
Nicht in eigenen Softwareprodukten, denn für deren Pflege werden die Mitarbeiter bereits bezahlt. Selbst wenn der Mitarbeiter aus einer Abteilung stammt, die das Produkt nicht direkt entwickelt, wird erwartet, dass sein Beitrag (nicht nur Vorschläge, sondern auch das Melden von Problemen) nicht bezahlt wird.
Aber es ist schön , wenn sie das Melden anderer Sicherheitslücken belohnen. Auf diese Weise motivieren sie den proaktiven Umgang der Bevölkerung mit Sicherheitsfragen. Vielleicht verdienen nicht alle verantwortungsvollen Offenlegungen eine Belohnung, aber Sicherheitsoffenlegungen tun dies oft. Nehmen wir zum Beispiel an, dass ein Mitarbeiter versehentlich einen relativ einfachen Weg findet, auf Informationen zuzugreifen, die im HR-System des Unternehmens gespeichert sind, das von einem intern bereitgestellten Softwareprodukt eines Drittanbieters unterstützt wird, und dies ohne Verzögerungen meldet. Ich habe solche Dinge gesehen, zum Beispiel nach dem Upgrade. Durch eine frühzeitige Warnung kann der Mitarbeiter dem Unternehmen viel Ärger ersparen. (Ihre Bedenken sind: Vielleicht könnte ein anderer Mitarbeiter es finden, ohne es zu melden, und es möglicherweise missbrauchen.) Dann kann der Vorgesetzte des Mitarbeiters oder die Abteilung, die für die Sicherheit dieses Programms verantwortlich ist, über einen Anreiz entscheiden. Entweder direkt (etwas Geld) oder zumindest indirekt (hey, wir
Kilisi
Simon
gnasher729
Simon
Brandin
Dan spielt bei Feuerschein