Recientemente descubrí una importante vulnerabilidad de seguridad (inyección SQL) en uno de los proyectos de mi empresa en mi tiempo libre. Estoy trabajando allí como desarrollador, no como investigador de seguridad, pero después de desarrollar muchas cosas, sabes dónde buscar vulnerabilidades :)
Como es una gran empresa, en realidad no estoy trabajando en el proyecto vulnerable y nadie que conozco lo está haciendo.
Para informar sobre la vulnerabilidad, utilicé el programa de "divulgación responsable" abierto al público. Básicamente es una forma de informar una vulnerabilidad, darles un tiempo razonable para que la solucionen y sean reconocidos por ello. No tengo conocimiento de ningún otro proceso dentro de la empresa para informar vulnerabilidades.
Sin embargo, me sorprendió descubrir que los empleados están excluidos del "programa de divulgación responsable" en términos de recompensa (es decir, figurar en el sitio web del programa de divulgación como colaborador y/o recibir una compensación monetaria)
Por un lado, puede haber conflictos de intereses. Los empleados que trabajan en proyectos pueden agregar una vulnerabilidad de seguridad a propósito para luego reclamar la recompensa o conspirar con sus compañeros de trabajo para hacerlo. Y probablemente lo mejor para el empleado sea informar los problemas de seguridad, ya que estos pueden afectar la reputación de la empresa y, en el peor de los casos, incluso pueden costarle el trabajo.
Por otro lado, no importa dónde esté trabajando el empleado si la vulnerabilidad se detecta mientras está fuera de horario. Las recompensas pueden alentar a los empleados a buscar vulnerabilidades fuera de horario, lo que beneficia a la empresa al eliminar los problemas de seguridad y pagar solo por la investigación si se encuentran problemas reales. Los empleados también podrían buscar problemas de seguridad en otras empresas que recompensan los hallazgos.
No me quejo del hecho de que no fui recompensado. Disfruto buscando problemas de seguridad y ya fue lo suficientemente divertido y mi trabajo es excelente. Pero estoy tratando de entender el razonamiento detrás de esta política y si esto es habitual en la industria.
La política general es que, _ no, _ las empresas no pagarán a los empleados por encontrar errores, ya que algunos idiotas toman eso como un estímulo para crear errores que luego pueden "encontrar" y reclamar la recompensa.
La búsqueda y corrección de errores es simplemente parte de su trabajo. Ya te están pagando por ese tiempo.
Si realmente siente la necesidad de ser recompensado por esto, recuerde que detectar y reparar un problema grave se verá maravilloso en su evaluación de fin de año.
No en sus propios productos de software, porque a los empleados ya se les paga por mantenerlos. Incluso si el empleado pertenece a un departamento que no desarrolla directamente el producto, se espera que su contribución (no solo sugerencias, sino también informes de problemas) no sea pagada.
Pero es bueno si recompensan informar cualquier otra vulnerabilidad de seguridad.. De esta manera están motivando el enfoque proactivo de la gente en temas de seguridad. Tal vez no todas las divulgaciones responsables merezcan una recompensa, pero las de seguridad a menudo sí lo hacen. Por ejemplo, supongamos que un empleado descubre accidentalmente una forma relativamente fácil de acceder a cualquier información almacenada en el sistema de recursos humanos de la empresa impulsado por un producto de software de terceros implementado internamente y lo informa sin demoras. He visto suceder cosas así, por ejemplo, después de la actualización. Mediante una advertencia temprana, el empleado puede ahorrarle muchos problemas a la empresa. (Su preocupación es: tal vez otro empleado podría encontrarlo sin informar y potencialmente usarlo de manera indebida). Luego, el gerente del empleado o el departamento a cargo de la seguridad de ese programa puede decidir sobre algún incentivo. Ya sea directo (algo de dinero) o al menos indirecto (hey, we'
Kilisi
Simón
gnasher729
Simón
Brandín
Dan toca el violín a la luz del fuego