Scopre un bug critico di Twitter, ma riceve un ban, non una ricompensa

[Peppe1970]

Quote:

Originariamente inviato da Uccellopredicatore

Leggendo i vostri interventi ho intenso più cose ed una tra le tante e che da ignorante non avevo considerato, riguarda proprio i termini del programma bug bounty.

Se lì ci sono clausole che dicono cosa fare e cosa non fare, allora ci si deve attenere, altrimenti bisogna valutare tutte le circostanze possibili che possono verificarsi a seguito di un'azione non pensata a fondo.

In questo caso specifico, dato che era una falla grave, poteva magari inviare giornalmente ripetute email di segnalazione.

Concordo col tuo ragionamento ma poi nella pratica, ammesso che non si cerchi
di ottenere elogi e/o quant'altro, è meglio farsi gli affari propri.

Dalle mie parti si dice che se trovi un paio di corna per strada non devi raccoglierle
ed indossarle per farti bello.

Certe volte, l'ingenuità porta a fare delle "operazioni" sbagliate anche se fatte
in buona fede; a me a volte è capitato, ma poi ci si rialza e si continua a camminare nel sentiero della vita:
https://www.youtube.com/watch?v=FrRaPtbc-ac

[h.rorschach]

Quote:

Originariamente inviato da bio82

parlare di illecito è molto vago...essendo giusto un illecito morale, secondo me quando dall'altra parte non rispettano un contratto, tu non sei tenuto a rispettarlo... visto che il moralmente vale entrambi i lati...

bio

Non c'è alcun contratto non rispettato da parte della compagnia. La compagnia si impegna a retribuire il ricercatore SE la vulnerabilità è accettata e considerata non duplicata. Nessun programma di bug bounty paga a prescindere il lavoro del ricercatore: solo se ha un valore ed è unico.

[cronos1990]

Quote:

Originariamente inviato da h.rorschach

1. Il lavoro si paga quando il lavoro è richiesto. I tuoi report non sono lavoro contrattualizzato né richiesto (benché benvenuti sotto le regole che sottoscrivi). Non c'è alcun obbligo da parte della compagnia di accettare o pagare alcunché perché la compagnia non ti ha chiesto di fare nulla: lo fai di tua scelta

2. Il programma ha giustamente bannato il cretino perché ha divulgato dettagli di una cosa che non era più sua (visto che quando invii il report hai trasferito la proprietà intellettuale e quelle parole non appartengono più a te). Che la vulnerabilità sia valida o meno non influisce su ciò: il trasferimento avviene sui contenuti

3. Il dark web non è interessato alle CSRF chain

4. Nessuno ha parlato di crimini, ma ha commesso un illecito. Ha trasferito la proprietà intellettuale del report ad un'entità terza che vieta di discuterne in pubblico, per poi discuterne in pubblico. Ci sono basi giuridiche per una causa, ma nessuna compagnia vuole farsi cattiva pubblicità

5. Ha fatto benissimo, infatti ora è in lista nera

Indubbiamente X (Twitter) ha tutte le ragioni del mondo.

Però a mio avviso si guarda troppo agli aspetti "legali/normativi'', tralasciando il "concreto" e il motivo per cui esiste tale programma.

E cioè individuare vulnerabilità e risolverle. In questa vicenda, per quanto il tizio in questione abbia a termini di contratto sbagliato, è in realtà l'unico che ha cercato di risolvere tale problema.
Giustamente tu dici che X non ha alcun obbligo a seguito della segnalazione, ma nel momento in cui non fai quello per cui tale servizio esiste, diventa solo un modo per pararsi il culo. @rabbit_2333 non può fare nulla contro il ban, ha violato i termini dell'accordo e giustamente viene fatto fuori, ma tra tutti coloro correlati a questa vicenda mi pare l'unico che abbia agito in ottemperanza al significato stesso dell'esistenza di tale apparato.

Non è neanche un discorso di difficoltà di risoluzione, dato che ci han messo poche ore a risolverlo.

[andbad]

Quote:

Originariamente inviato da cronos1990

Indubbiamente X (Twitter) ha tutte le ragioni del mondo.

Però a mio avviso si guarda troppo agli aspetti "legali/normativi'', tralasciando il "concreto" e il motivo per cui esiste tale programma.

E cioè individuare vulnerabilità e risolverle. In questa vicenda, per quanto il tizio in questione abbia a termini di contratto sbagliato, è in realtà l'unico che ha cercato di risolvere tale problema.
Giustamente tu dici che X non ha alcun obbligo a seguito della segnalazione, ma nel momento in cui non fai quello per cui tale servizio esiste, diventa solo un modo per pararsi il culo. @rabbit_2333 non può fare nulla contro il ban, ha violato i termini dell'accordo e giustamente viene fatto fuori, ma tra tutti coloro correlati a questa vicenda mi pare l'unico che abbia agito in ottemperanza al significato stesso dell'esistenza di tale apparato.

Non è neanche un discorso di difficoltà di risoluzione, dato che ci han messo poche ore a risolverlo.

Concordo. Se il bug era lì da un anno, chissà le se è mai stato usato a fini illeciti. Il non volerlo risolvere da parte di Twitter (perché MAGARI Elone ha licenziato tutti quelli bravi...) è la parte peggiore di tutta la vicenda.

Considerato che:
1- non è stato pagato
2- non hanno risolto il bug

Ha fatto bene a segnalarlo pubblicamente, così da costringere Twitter a risolverlo.
Alla fine l'hacker si è sacrificato per noi (giusto o sbagliato che sia, legalmente parlando).

By(t)e

[andbad]

Quote:

Originariamente inviato da Uccellopredicatore

Non è che di proposito non vogliono rimediare per qualche "oscuro" fine?

Ma no, questo non lo credo. Sarebbe alquanto stupido lasciare un bug che è già stato segnalato come backdoor per motivi poco leciti, il rischio sputtanamento è troppo elevato (tant'è che si è verificato).

Poi oh, alla stupidità non c'è limite, eh...

By(t)e