Нашёл дыру на сайте конторы, по-человечески написал им — в ответ угрожают полицией

[bytecode1580]

Зашёл на сайт регионального сервиса, поменял id в урле и увидел чужие заказы с ФИО и телефонами. Классический IDOR. Написал им на support вежливо, мол так и так, почините. В ответ прилетело письмо от 'юридического отдела' с угрозой заявления в полицию за 'несанкционированный доступ'. Я в шоке, я же помочь хотел.

[zhenya_x]

Классика жанра, к сожалению. Первое и главное: останови любое дальнейшее тестирование прямо сейчас. Второе: сохрани всю переписку, скриншоты, тайминги — это твоё доказательство добросовестного намерения, а не злого умысла.

[sysgo2328]

У них нет VDP (vulnerability disclosure policy), значит юридически ты в серой зоне по умолчанию. Менять id в чужих заказах формально это уже доступ к данным, которые тебе не принадлежат. Намерение хорошее, но закон смотрит на факт.

[dnscache8196]

По-хорошему даже сам факт 'я поменял id и увидел чужие ФИО' уже надо было только описать словами, а не выкачивать. У них сейчас в логах твой IP на доступе к ПДн третьих лиц. Не оправдывайся техникой, оправдывайся намерением.

[tanya_loop67]

Совет на будущее: для незнакомых контор без bug bounty и без security.txt — либо вообще не лезь, либо репортишь строго одним запросом и только то, что видно без перебора. Перебор id это уже похоже на сбор данных, а не на 'случайно заметил'.

[anton_loop]

Сейчас по делу: ответь им коротко и сухо, что тестирование прекращено, данные ты не сохранял и не распространял, действовал добросовестно с целью уведомления, готов удалить всё что есть. Без эмоций. В большинстве случаев на этом и затухает, им тоже скандал не нужен.

[tanya_sigma31]

Понял, спасибо всем. Урок усвоил: вежливость не равно юридическая защита. Написал им сухой ответ как посоветовали, переписку сложил в отдельную папку. Больше в чужие урлы без письменного разрешения не лезу.

[appdev1427]

С юридической точки зрения ты нарушил 272 УК РФ в момент когда прочитал чужие данные, даже не планируя навредить. 'Я хотел помочь' не снимает состав — это классика. Угрозы от юротдела регионального сервиса это 99% попытка запугать, реальных заявлений они не подают, потому что тогда сами светятся как нарушители 152-ФЗ (утечка персональных данных). Но переписку лучше прекратить, повторно не обращаться и ничего больше не демонстрировать им.

[bytedocker1834]

На будущее: для ответственного раскрытия в России есть Positive Technologies BugBounty и BI.ZONE — можно сообщить туда если компания подключена, они выступают посредником. Если не подключена — отправить письмо в Роскомнадзор как регулятор по 152-ФЗ, там есть форма для уведомлений об утечках. Так у тебя появляется официальный след что ты действовал добросовестно, а не просто писал в support.