Как правильно раскрывать уязвимость если компания не отвечает на репорт

[maria_api21]

Нашёл серьёзную уязвимость (IDOR с доступом к чужим данным) в достаточно крупном российском сервисе. Написал им на security@, потом через форму обратной связи — тишина уже 45 дней. Программы bug bounty у них нет. Что делать дальше? Публиковать? Ждать ещё? Получить CVE? Хочу сделать всё по-человечески, но и не держать это в себе вечно.

[roman7016]

Стандартный подход — responsible disclosure с таймлайном. 90 дней считается отраслевым стандартом (именно столько даёт Google Project Zero). Ты на 45-м дне — отправь повторное письмо с явным указанием: «если не получу подтверждение до [дата], буду вынужден опубликовать информацию через 45 дней». Это их последний шанс среагировать и юридически защищает тебя — ты действовал добросовестно.

[rodion_pixel21]

CVE для веб-уязвимостей в проприетарном сервисе (не open-source продукте) обычно не выдают — CVE предназначен для продуктов, а не конкретных инстансов. Если хочешь формально задокументировать — можешь написать в CERT/CC или RU-CERT, они иногда выступают посредниками между исследователем и компанией.

[arseny6904]

Из практики: многие компании просто не мониторят security@, это ящик который завели для галочки. Попробуй найти CISO или технического директора через LinkedIn — прямое сообщение с кратким описанием проблемы без деталей часто срабатывает за день там, где официальные каналы молчат месяцами. Звучит странно, но это реально работает.

[tcploop1339]

Насчёт публикации — есть варианты: полное раскрытие (full disclosure) со всеми деталями, или coordinated disclosure через платформы типа Bugcrowd/HackerOne даже если у компании нет программы (они принимают такие репорты). Ещё вариант — написать в профильные СМИ типа SecurityLab или Хабр, иногда публичное внимание заставляет компании реагировать быстрее чем любые письма.

[olga_code]

Главное — не публикуй рабочий PoC пока уязвимость не закрыта, даже после 90 дней. Можно опубликовать описание уязвимости, таймлайн попыток связаться, общий класс проблемы — но не эксплойт который можно сразу использовать против реальных пользователей. Это и этически правильно, и юридически безопаснее для тебя.