Oppdaget en softwarebug.

20. september 2021

Oppdaget ved en ren tilfeldighet en stor feil i en applikasjon jeg er regelmessig bruker av. Dette er noe jeg antar selskapet har tapt store penger på. Vet en del selskaper tilbyr belønninger for og finne slike feil, dette selskapet gjør derimot ikke det. Hvordan kan jeg gå frem rent juridisk for og forsøke og tjene penger på situasjonen, og er dett etisk riktig? Poster som anonym.

Anonymous poster hash: 4d3cb...e3e

Salvesen. · 20. september 2021

Gjest 4d3cb...e3e skrev (Akkurat nå):

Oppdaget ved en ren tilfeldighet en stor feil i en applikasjon jeg er regelmessig bruker av. Dette er noe jeg antar selskapet har tapt store penger på. Vet en del selskaper tilbyr belønninger for og finne slike feil, dette selskapet gjør derimot ikke det. Hvordan kan jeg gå frem rent juridisk for og forsøke og tjene penger på situasjonen, og er dett etisk riktig? Poster som anonym.

Anonymous poster hash: 4d3cb...e3e

ta kontakt med selskapet og gi beskjed om at du har oppdaget en bug som de potensielt taper penger på?

Reinarrr · 20. september 2021

3 minutes ago, Salvesen. said:

ta kontakt med selskapet og gi beskjed om at du har oppdaget en bug som de potensielt taper penger på?

Dette

Endret 20. september 2021 av Reinarrr

20. september 2021

4 minutes ago, Salvesen. said:

ta kontakt med selskapet og gi beskjed om at du har oppdaget en bug som de potensielt taper penger på?

Dette er hva jeg ønsker og gjøre. Derimot vil jeg ikke at de skal kunne spore eposten/ipen/telefonen min til brukeraktivitet på deres nettsider hvor de kan se igjennom min aktivitet og finne feilen selv. I tillegg må jeg ha en måte og verdivurdere feilen på før jeg avslører den. Slik at de ikke kan si at "Dette var en ubetydelig feil" og fikse den dagen etter.

Anonymous poster hash: 4d3cb...e3e

Salvesen. · 20. september 2021

Gjest 4d3cb...e3e skrev (3 minutter siden):

Dette er hva jeg ønsker og gjøre. Derimot vil jeg ikke at de skal kunne spore eposten/ipen/telefonen min til brukeraktivitet på deres nettsider hvor de kan se igjennom min aktivitet og finne feilen selv. I tillegg må jeg ha en måte og verdivurdere feilen på før jeg avslører den. Slik at de ikke kan si at "Dette var en ubetydelig feil" og fikse den dagen etter.

Anonymous poster hash: 4d3cb...e3e

Hvordan du kan sende epost anonymt kan noen andre få svare på. Men bare gi beskjed at du har funnet en bug, som du mener taper de for penger. Gi gjerne ett estimat om du klarer det. Og spør om de vill belønne for en slik opplysning og hvor mye de vill belønne. Da har du startet samtalen.

Kajac · 20. september 2021

Lykke til, men tror ikke du skal forvente for mye. Slike belønninger gies stort sett bare til de som finner alvorlige sikkerhetshull. Men det kan jo hende dette er ganske alvorlig.

Som andre foreslår må du nesten bare kontakte dem. De fleste selskaper har en kontaktinformasjon for rapportering av bugs. Men jeg tviler jo litt på at "Jeg har oppdaget en bug. Hva får jeg for å fortelle den til dere" kommer til å resultere i svar en gang.

20. september 2021

25 minutes ago, Salvesen. said:

Hvordan du kan sende epost anonymt kan noen andre få svare på. Men bare gi beskjed at du har funnet en bug, som du mener taper de for penger. Gi gjerne ett estimat om du klarer det. Og spør om de vill belønne for en slik opplysning og hvor mye de vill belønne. Da har du startet samtalen.

Personlig har jeg mulighet til og "tappe de" for et beløp imellom 500/600 kr daglig i utsalgspris. Vil anta dette er rundt 200kr i reell merkostnad ifra dems side (kjenner bransjen). Har selvsagt ikke utnyttet dette bevisst. Hvis feilen ble utnyttet til det fulle av hver "misbruker" ville de nok oppdaget det fort. De fleste som eventuelt utnytter feilen gjør det i liten skala over tid. Selskapet det er snakk om er internasjonalt og omsetter for milliarder. Det vil si at hvis en liten prosentandel utnytter seg av dette innebærer det tap i inntekt og merkostnader i millionklassen.

Anonymous poster hash: 4d3cb...e3e

Salvesen. · 20. september 2021

Gjest 4d3cb...e3e skrev (1 minutt siden):

Personlig har jeg mulighet til og "tappe de" for et beløp imellom 500/600 kr daglig i utsalgspris. Vil anta dette er rundt 200kr i reell merkostnad ifra dems side (kjenner bransjen). Har selvsagt ikke utnyttet dette bevisst. Hvis feilen ble utnyttet til det fulle av hver "misbruker" ville de nok oppdaget det fort. De fleste som eventuelt utnytter feilen gjør det i liten skala over tid. Selskapet det er snakk om er internasjonalt og omsetter for milliarder. Det vil si at hvis en liten prosentandel utnytter seg av dette innebærer det tap i inntekt og merkostnader i millionklassen.

Anonymous poster hash: 4d3cb...e3e

Der har du jo ett godt utgangspunkt, men ikke bli for grådig.

**Uderzo** · 20. september 2021

Etter min mening så kan en slik tilnærming oppfattes som forsøk på utpressing. "Hvor mye er denne informasjonen verdt for dere?".

Jeg ville ha tatt kontakt med selskapet og delt informasjonen og håpet på det beste, ikke avkrevd de for penger.

:utakt · 20. september 2021

Alternativt kan du jo bare holde det for deg selv, og tjene de 500 kr dagen på dem. Det er 182 500 kr på et år, jeg tror ikke de kommer til å betale deg den summen hvis du sier fra.

**Uderzo** · 20. september 2021

Og dermed bli en lovbryter? Det er ikke fritt frem å utnytte sikkerhetshull for egen vinning.

20. september 2021

1 minute ago, :utakt said:

Alternativt kan du jo bare holde det for deg selv, og tjene de 500 kr dagen på dem. Det er 182 500 kr på et år, jeg tror ikke de kommer til å betale deg den summen hvis du sier fra.

Har tenkt tanken selv, men det er vel tross alt ulovlig og utnytte slikt med overlegg? Da er det mer etisk og tjene penger på og innraportere feilen.

Anonymous poster hash: 4d3cb...e3e

:utakt · 20. september 2021

Er det ulovlig å bruke programvare slik den er lansert?

Kajac · 20. september 2021

:utakt skrev (9 minutter siden):

Er det ulovlig å bruke programvare slik den er lansert?

Det er ulovlig å bevisst utnytte sikkerhetshull eller andre bugs til egen vinning.

John-B · 20. september 2021

38 minutes ago, Guest 4d3cb...e3e said:

Personlig har jeg mulighet til og "tappe de" for et beløp imellom 500/600 kr daglig i utsalgspris. Vil anta dette er rundt 200kr i reell merkostnad ifra dems side (kjenner bransjen). Har selvsagt ikke utnyttet dette bevisst. Hvis feilen ble utnyttet til det fulle av hver "misbruker" ville de nok oppdaget det fort. De fleste som eventuelt utnytter feilen gjør det i liten skala over tid. Selskapet det er snakk om er internasjonalt og omsetter for milliarder. Det vil si at hvis en liten prosentandel utnytter seg av dette innebærer det tap i inntekt og merkostnader i millionklassen.

Anonymous poster hash: 4d3cb...e3e

Tror du overvurderer litt her. Det er jo et relativt lite beløp. For at beløpet skal bli stort må flere tusen utnytte denne feilen. Før det skjer vil de mest sannsynlig merke det. Du må jo i så fall publisere info om feilen for at så mange andre skal finne ut av det.

Er nok bare å bite i det sure eplet og innse at du ikke blir rik på dette. Er egentlig litt synd at det ikke eksisterer en form for lovpålagt finnerlønn for bugs - årsaken er vel at det ofte er ekstremt vanskelig å faststslå beløp.

Etter at feilen er rapportert og fikset håper jeg du poster en oppdatering og beskriver feilen!

Endret 20. september 2021 av John-B

20. september 2021

5 minutes ago, John-B said:

Tror du overvurderer litt her. Det er jo et relativt lite beløp. For at beløpet skal bli stort må flere tusen utnytte denne feilen. Før det skjer vil de mest sannsynlig merke det. Du må jo i så fall publisere info om feilen for at så mange andre skal finne ut av det.

Er nok bare å bite i det sure eplet og innse at du ikke blir rik på dette. Er egentlig litt synd at det ikke eksisterer en form for lovpålagt finnerlønn for bugs - årsaken er vel at det ofte er ekstremt vanskelig å faststslå beløp.

Etter at feilen er rapportert og fikset håper jeg du poster en oppdatering og beskriver feilen!

Ja det er godt mulig jeg overvurderer hvor stor økonomisk belastning dette har for selskapet 😅😅

Anonymous poster hash: 4d3cb...e3e

20. september 2021

Jussen her vet jeg for like om til å gi noe fornuftig svar, TS, men du spør også om det å forsøke å tjene penger på en slik situasjon er etisk riktig. Svaret på siste spørsmålet er et klart og rungende NEI, noe du også ganske sikkert har en formening om selv siden du i det hele tatt stiller spørsmålet. Vet man noe som sannsynligvis skader sin neste, og kan man varsle nesten om dette uten verken å sette seg selv i fare eller ha utlegg av betydning er det etisk sett en ubetinget varslingsplikt uten en eneste tanke på ussel mammon. Man kan selvfølgelig med all rett diskutere hvorvidt ens neste som i slike tilfeller ikke gir passe gjenytelse etterpå også opptrer uetisk, men uansett konklusjon her forandres ikke egen etiske/uetiske atferd rundt en utelatelse, heller ikke om saken måtte gjelde ens bitreste fiende (og jeg har i tillegg ingen indikasjon på at TS har noen fiendtlig holdning til den som skal varsles).

Å unnlate varsling i en slik sak med tanke på maksimering av ussel mammon til seg og sine betyr at man står til minst halsen i en kultur bygget på hovedfundamentet grådighet uten å se dette selv og så prøver å bruke den kulturen som sitt etiske kompass.

Anonymous poster hash: 8640e...b23

Comma Chameleon · 20. september 2021

Gjest 8640e...b23 skrev (44 minutter siden):

Svaret på siste spørsmålet er et klart og rungende NEI,

Uenig. Nå er dette et juss-forum så det etiske har vel ikke så mye å si, men hvis man finner feil i systemer til bedrifter som driver i milliard-klassen så er det helt innafor å forvente en finnerlønn.

Blesten_i_vesten · 21. september 2021

Hei.
Ja, dette må du varsle om. Så er det også greit å vite om dette går utover personvern, for da er det også strenge regler for dette.

Du sier selskapet ikke er villig til å utbetale en bounty for at du har oppdaget feilen. I mine øyne er dette selskapets tap, og jeg ville absolutt fulgt dette opp og lagt mer press på dem. Gjerne informer dem om at slike vulnerabilities/svakheter gjerne har en stor gevinst når den selges ute på det svarte markedet. Det er ikke en trussel, men fakta. Så kan du legge til at det er flaks at du, som er en ærlig person, har funnet svakheten og nå ønsker å samarbeide med bedriften om hva som er den rette fremgangsmåten.

Du sier du ikke ønsker at de skal spore deg gjennom IP adresse. Du kan feks sende en mail inkognito fra en nettside som tilbyr 24 timer mail (søk det opp, men husk at denne type mail slettes etter 24 timer). Jeg anbefaler deg dog å ta kontakt med dem med ditt virkelige navn. På forhånd har du selvsagt tatt logg og screenshots av alt, så kan du allikevel vise til at du oppdaget feilen. OWASP har laget en sjekkliste for både bounty-hunters og bedrifter, denne kan du gjerne vise til. Her står det blant annet at en ikke bør kreve penger for å ha funnet svakheten, og at bedriften bør tilby en gevinst samt kreditere deg for at du oppdaget den. Du kan finne sjekkliste her:
https://cheatsheetseries.owasp.org/cheatsheets/Vulnerability_Disclosure_Cheat_Sheet.html

Håper dette var noe oppklarende.

Oppdaget en softwarebug.

Anbefalte innlegg

Gjest 4d3cb...e3e

Lenke til kommentar

Videoannonse

Lenke til kommentar

Lenke til kommentar

Gjest 4d3cb...e3e

Lenke til kommentar

Lenke til kommentar

Lenke til kommentar

Gjest 4d3cb...e3e

Lenke til kommentar

Lenke til kommentar

Lenke til kommentar

Lenke til kommentar

Lenke til kommentar

Gjest 4d3cb...e3e

Lenke til kommentar

Lenke til kommentar

Lenke til kommentar

Lenke til kommentar

Gjest 4d3cb...e3e

Lenke til kommentar

Gjest 8640e...b23

Lenke til kommentar

Lenke til kommentar

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Opprett konto

Logg inn

Hvem er aktive 0 medlemmer