Hola desde el otro lado. Entrevista con un cazador de bichos.
A principios de este mes, un cazarecompensas de bichos belgas, Inti De Ceukelaire reveló un truco creativo que afecta a cientos de empresas. El truco consiste en explotar lo defectuoso lógica empresarial en los populares servicios de asistencia y rastreadores de problemas para acceder a intranets, cuentas de redes sociales o, con mayor frecuencia, a los equipos de Yammer y Slack. Puedes obtener más información en Entrada de blog propia de Inti. Me impresionó la creatividad necesaria para crear esta hazaña y sentí curiosidad por conocer el proceso que implicaba, así que decidí hacerle algunas preguntas a Inti y comparto sus respuestas con ustedes.
Hola Inti, ¿puedes presentarte brevemente a nuestros lectores?
Soy Inti, cazarrecompensas de insectos en Intigriti y Hackerone. Vivo en Aalst (Bélgica) y paso mis días rompiendo cosas.
La semana pasada leí tu entrada de blog sobre lo que desde entonces llamaste «Ticket Trick» y me impresionó tu creatividad para encontrar este exploit. ¿Cómo se te ocurrió la idea de probar este truco?
Participo en programas de recompensas por errores, lo que significa que ciertos sitios web ofrecen dinero a los investigadores de seguridad responsables que descubren vulnerabilidades únicas. Como hay mucha competencia, tienes que seguir buscando cosas que otros no hayan encontrado todavía. Pensé que Slack era un vector de ataque interesante porque, a menudo, contiene información confidencial y, a veces, solo requiere un correo electrónico corporativo válido. Así que me tomé una cerveza, me acosté en el sofá y empecé a pensar en todos los posibles vectores de ataque. De repente tuve una idea descabellada y resultó que funcionó. Por lo general, pruebo todo lo que se me ocurre. Aunque eso solo funciona unas pocas veces, vale la pena. ;-)
Como alguien que normalmente trabaja en el lado opuesto, intentando proteger el código, a menudo me pregunto qué aspecto tendrá una sesión de pentesting. ¿Dónde trabajas? ¿Es algo que también haces en tu tiempo libre desde el sofá? ¿O te sientes en una oficina?
Durante el día trabajo como programador creativo digital en una emisora de radio llamada Studio Brussel. Implica algo de programación y algunas redes sociales, pero no hay seguridad. Intento no mezclar mi afición con mi trabajo profesional. Me temo que perdería mi creatividad si lo hiciera. No pirateo tan a menudo: un máximo de unas pocas horas a la semana. Puede estar en la mesa, en el sofá o en mi cama, lo que sea cómodo en ese momento.
¿Cómo se empieza? ¿Tienes una hoja de trucos? ¿Tienes algunas entradas para comprobar si hay suficiente validación de entradas o escapes de salida?
Soy muy caótico, así que no tengo una lista de verificación, solo uso mi instinto. La mayoría de las veces empiezo con algo llamado reconocimiento: enumerar toda la información interesante sobre los objetivos, los subdominios, las direcciones IP, todo lo que puedo encontrar. Intento ver el panorama general y entender la lógica empresarial incluso antes de empezar a hackear. Si te centras únicamente en las vulnerabilidades habituales, te perderás muchos de los defectos más ingeniosos y complejos. En lo que respecta a la entrada, intento cubrir tantas vulnerabilidades como sea posible en una sola carga útil. Siempre que descubro algo interesante, juego un rato con ello y le pongo un montón de tonterías, solo para ver cómo reacciona el sistema ante ello. Los mejores errores suelen encontrarse en las partes más remotas de una aplicación web, así que intento profundizar lo más que puedo.
¿Qué crees que hace que un pentester sea bueno? ¿Tienes algún truco bajo la manga que puedas compartir con nosotros?
No soy un pentester, así que no puedo hablar en nombre de los pentestres en general, pero creo que la motivación y la persistencia son los activos más importantes. La mayoría de las personas ni siquiera piensan en buscar vulnerabilidades de seguridad en Google porque tienen a los mejores ingenieros del mundo y, sin embargo, pagan millones de recompensas por errores cada año. Llevo trabajando en un objetivo desde hace más de 2 años y ahora empiezo a descubrir los errores más interesantes. Lleva un tiempo. El problema de las pruebas previas normales es que los evaluadores reciben una cantidad fija, independientemente de que encuentren vulnerabilidades críticas o no. Creo que todavía quedan muchos errores en Facebook, solo hace falta alguien que esté dispuesto a profundizar lo suficiente.
Cuando te diste cuenta de la magnitud del Ticket Trick, ¿qué fue lo primero que pensaste?
Tenía sentimientos encontrados. Me sorprendió e inmediatamente pensé en las recompensas por errores que podría conseguir con él, pero por otro lado me sorprendió que fuera posible. Cuando te encuentras con algo así, de repente te quedas con un montón de información valiosa que podría interesar a los malintencionados. El proceso de divulgación es difícil: hay que informar al mayor número posible de empresas afectadas, pero, por otro lado, hay que asegurarse de que la información no se filtre ni se abuse de ella.
¿Por qué decidiste dar a conocer la información antes de conseguir más recompensas?
Hacerlo correctamente es más importante que recolectar recompensas. Creo que he tenido lo que me corresponde y ahora quiero contribuir a la comunidad. Además, llevo meses informando a las empresas sobre este tema, por lo que cada vez más personas lo sabían. No quería que alguien con malas intenciones lo filtrara o abusara de él.
¿Qué opina de las respuestas de las empresas afectadas?
La mayoría de las respuestas fueron satisfactorias. A algunas empresas realmente no les importaba, pero al final del día, es su pérdida. Ser rechazado como investigador de seguridad es parte del juego. Al menos no recibí ninguna demanda. Hace 10 años, probablemente ese hubiera sido el caso.
Una última pregunta, en Reddit leí que has reclamado 8.000$ en recompensas por errores, ¿tienes planes interesantes de gastar este dinero?
En total, obtuve más de 20 000 dólares por este error. Más de la mitad se destina a impuestos. El resto lo dedico a cosas normales como viajes, salir a cenar,... nada descabellado. :-)
¡Muchas gracias por tu tiempo y buena suerte cazando en el futuro!
El error sigue ahí fuera. No es algo que se pueda solucionar de inmediato. Durante los últimos meses, me puse en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para corregir su configuración.
El error sigue ahí fuera. No es algo que se pueda solucionar de inmediato. Durante los últimos meses, me puse en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para corregir su configuración.
응용 프로그램 보안 연구원 - R&D 엔지니어 - 박사 후보
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
응용 프로그램 보안 연구원 - R&D 엔지니어 - 박사 후보
A principios de este mes, un cazarecompensas de bichos belgas, Inti De Ceukelaire reveló un truco creativo que afecta a cientos de empresas. El truco consiste en explotar lo defectuoso lógica empresarial en los populares servicios de asistencia y rastreadores de problemas para acceder a intranets, cuentas de redes sociales o, con mayor frecuencia, a los equipos de Yammer y Slack. Puedes obtener más información en Entrada de blog propia de Inti. Me impresionó la creatividad necesaria para crear esta hazaña y sentí curiosidad por conocer el proceso que implicaba, así que decidí hacerle algunas preguntas a Inti y comparto sus respuestas con ustedes.
Hola Inti, ¿puedes presentarte brevemente a nuestros lectores?
Soy Inti, cazarrecompensas de insectos en Intigriti y Hackerone. Vivo en Aalst (Bélgica) y paso mis días rompiendo cosas.
La semana pasada leí tu entrada de blog sobre lo que desde entonces llamaste «Ticket Trick» y me impresionó tu creatividad para encontrar este exploit. ¿Cómo se te ocurrió la idea de probar este truco?
Participo en programas de recompensas por errores, lo que significa que ciertos sitios web ofrecen dinero a los investigadores de seguridad responsables que descubren vulnerabilidades únicas. Como hay mucha competencia, tienes que seguir buscando cosas que otros no hayan encontrado todavía. Pensé que Slack era un vector de ataque interesante porque, a menudo, contiene información confidencial y, a veces, solo requiere un correo electrónico corporativo válido. Así que me tomé una cerveza, me acosté en el sofá y empecé a pensar en todos los posibles vectores de ataque. De repente tuve una idea descabellada y resultó que funcionó. Por lo general, pruebo todo lo que se me ocurre. Aunque eso solo funciona unas pocas veces, vale la pena. ;-)
Como alguien que normalmente trabaja en el lado opuesto, intentando proteger el código, a menudo me pregunto qué aspecto tendrá una sesión de pentesting. ¿Dónde trabajas? ¿Es algo que también haces en tu tiempo libre desde el sofá? ¿O te sientes en una oficina?
Durante el día trabajo como programador creativo digital en una emisora de radio llamada Studio Brussel. Implica algo de programación y algunas redes sociales, pero no hay seguridad. Intento no mezclar mi afición con mi trabajo profesional. Me temo que perdería mi creatividad si lo hiciera. No pirateo tan a menudo: un máximo de unas pocas horas a la semana. Puede estar en la mesa, en el sofá o en mi cama, lo que sea cómodo en ese momento.
¿Cómo se empieza? ¿Tienes una hoja de trucos? ¿Tienes algunas entradas para comprobar si hay suficiente validación de entradas o escapes de salida?
Soy muy caótico, así que no tengo una lista de verificación, solo uso mi instinto. La mayoría de las veces empiezo con algo llamado reconocimiento: enumerar toda la información interesante sobre los objetivos, los subdominios, las direcciones IP, todo lo que puedo encontrar. Intento ver el panorama general y entender la lógica empresarial incluso antes de empezar a hackear. Si te centras únicamente en las vulnerabilidades habituales, te perderás muchos de los defectos más ingeniosos y complejos. En lo que respecta a la entrada, intento cubrir tantas vulnerabilidades como sea posible en una sola carga útil. Siempre que descubro algo interesante, juego un rato con ello y le pongo un montón de tonterías, solo para ver cómo reacciona el sistema ante ello. Los mejores errores suelen encontrarse en las partes más remotas de una aplicación web, así que intento profundizar lo más que puedo.
¿Qué crees que hace que un pentester sea bueno? ¿Tienes algún truco bajo la manga que puedas compartir con nosotros?
No soy un pentester, así que no puedo hablar en nombre de los pentestres en general, pero creo que la motivación y la persistencia son los activos más importantes. La mayoría de las personas ni siquiera piensan en buscar vulnerabilidades de seguridad en Google porque tienen a los mejores ingenieros del mundo y, sin embargo, pagan millones de recompensas por errores cada año. Llevo trabajando en un objetivo desde hace más de 2 años y ahora empiezo a descubrir los errores más interesantes. Lleva un tiempo. El problema de las pruebas previas normales es que los evaluadores reciben una cantidad fija, independientemente de que encuentren vulnerabilidades críticas o no. Creo que todavía quedan muchos errores en Facebook, solo hace falta alguien que esté dispuesto a profundizar lo suficiente.
Cuando te diste cuenta de la magnitud del Ticket Trick, ¿qué fue lo primero que pensaste?
Tenía sentimientos encontrados. Me sorprendió e inmediatamente pensé en las recompensas por errores que podría conseguir con él, pero por otro lado me sorprendió que fuera posible. Cuando te encuentras con algo así, de repente te quedas con un montón de información valiosa que podría interesar a los malintencionados. El proceso de divulgación es difícil: hay que informar al mayor número posible de empresas afectadas, pero, por otro lado, hay que asegurarse de que la información no se filtre ni se abuse de ella.
¿Por qué decidiste dar a conocer la información antes de conseguir más recompensas?
Hacerlo correctamente es más importante que recolectar recompensas. Creo que he tenido lo que me corresponde y ahora quiero contribuir a la comunidad. Además, llevo meses informando a las empresas sobre este tema, por lo que cada vez más personas lo sabían. No quería que alguien con malas intenciones lo filtrara o abusara de él.
¿Qué opina de las respuestas de las empresas afectadas?
La mayoría de las respuestas fueron satisfactorias. A algunas empresas realmente no les importaba, pero al final del día, es su pérdida. Ser rechazado como investigador de seguridad es parte del juego. Al menos no recibí ninguna demanda. Hace 10 años, probablemente ese hubiera sido el caso.
Una última pregunta, en Reddit leí que has reclamado 8.000$ en recompensas por errores, ¿tienes planes interesantes de gastar este dinero?
En total, obtuve más de 20 000 dólares por este error. Más de la mitad se destina a impuestos. El resto lo dedico a cosas normales como viajes, salir a cenar,... nada descabellado. :-)
¡Muchas gracias por tu tiempo y buena suerte cazando en el futuro!
El error sigue ahí fuera. No es algo que se pueda solucionar de inmediato. Durante los últimos meses, me puse en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para corregir su configuración.
A principios de este mes, un cazarecompensas de bichos belgas, Inti De Ceukelaire reveló un truco creativo que afecta a cientos de empresas. El truco consiste en explotar lo defectuoso lógica empresarial en los populares servicios de asistencia y rastreadores de problemas para acceder a intranets, cuentas de redes sociales o, con mayor frecuencia, a los equipos de Yammer y Slack. Puedes obtener más información en Entrada de blog propia de Inti. Me impresionó la creatividad necesaria para crear esta hazaña y sentí curiosidad por conocer el proceso que implicaba, así que decidí hacerle algunas preguntas a Inti y comparto sus respuestas con ustedes.
Hola Inti, ¿puedes presentarte brevemente a nuestros lectores?
Soy Inti, cazarrecompensas de insectos en Intigriti y Hackerone. Vivo en Aalst (Bélgica) y paso mis días rompiendo cosas.
La semana pasada leí tu entrada de blog sobre lo que desde entonces llamaste «Ticket Trick» y me impresionó tu creatividad para encontrar este exploit. ¿Cómo se te ocurrió la idea de probar este truco?
Participo en programas de recompensas por errores, lo que significa que ciertos sitios web ofrecen dinero a los investigadores de seguridad responsables que descubren vulnerabilidades únicas. Como hay mucha competencia, tienes que seguir buscando cosas que otros no hayan encontrado todavía. Pensé que Slack era un vector de ataque interesante porque, a menudo, contiene información confidencial y, a veces, solo requiere un correo electrónico corporativo válido. Así que me tomé una cerveza, me acosté en el sofá y empecé a pensar en todos los posibles vectores de ataque. De repente tuve una idea descabellada y resultó que funcionó. Por lo general, pruebo todo lo que se me ocurre. Aunque eso solo funciona unas pocas veces, vale la pena. ;-)
Como alguien que normalmente trabaja en el lado opuesto, intentando proteger el código, a menudo me pregunto qué aspecto tendrá una sesión de pentesting. ¿Dónde trabajas? ¿Es algo que también haces en tu tiempo libre desde el sofá? ¿O te sientes en una oficina?
Durante el día trabajo como programador creativo digital en una emisora de radio llamada Studio Brussel. Implica algo de programación y algunas redes sociales, pero no hay seguridad. Intento no mezclar mi afición con mi trabajo profesional. Me temo que perdería mi creatividad si lo hiciera. No pirateo tan a menudo: un máximo de unas pocas horas a la semana. Puede estar en la mesa, en el sofá o en mi cama, lo que sea cómodo en ese momento.
¿Cómo se empieza? ¿Tienes una hoja de trucos? ¿Tienes algunas entradas para comprobar si hay suficiente validación de entradas o escapes de salida?
Soy muy caótico, así que no tengo una lista de verificación, solo uso mi instinto. La mayoría de las veces empiezo con algo llamado reconocimiento: enumerar toda la información interesante sobre los objetivos, los subdominios, las direcciones IP, todo lo que puedo encontrar. Intento ver el panorama general y entender la lógica empresarial incluso antes de empezar a hackear. Si te centras únicamente en las vulnerabilidades habituales, te perderás muchos de los defectos más ingeniosos y complejos. En lo que respecta a la entrada, intento cubrir tantas vulnerabilidades como sea posible en una sola carga útil. Siempre que descubro algo interesante, juego un rato con ello y le pongo un montón de tonterías, solo para ver cómo reacciona el sistema ante ello. Los mejores errores suelen encontrarse en las partes más remotas de una aplicación web, así que intento profundizar lo más que puedo.
¿Qué crees que hace que un pentester sea bueno? ¿Tienes algún truco bajo la manga que puedas compartir con nosotros?
No soy un pentester, así que no puedo hablar en nombre de los pentestres en general, pero creo que la motivación y la persistencia son los activos más importantes. La mayoría de las personas ni siquiera piensan en buscar vulnerabilidades de seguridad en Google porque tienen a los mejores ingenieros del mundo y, sin embargo, pagan millones de recompensas por errores cada año. Llevo trabajando en un objetivo desde hace más de 2 años y ahora empiezo a descubrir los errores más interesantes. Lleva un tiempo. El problema de las pruebas previas normales es que los evaluadores reciben una cantidad fija, independientemente de que encuentren vulnerabilidades críticas o no. Creo que todavía quedan muchos errores en Facebook, solo hace falta alguien que esté dispuesto a profundizar lo suficiente.
Cuando te diste cuenta de la magnitud del Ticket Trick, ¿qué fue lo primero que pensaste?
Tenía sentimientos encontrados. Me sorprendió e inmediatamente pensé en las recompensas por errores que podría conseguir con él, pero por otro lado me sorprendió que fuera posible. Cuando te encuentras con algo así, de repente te quedas con un montón de información valiosa que podría interesar a los malintencionados. El proceso de divulgación es difícil: hay que informar al mayor número posible de empresas afectadas, pero, por otro lado, hay que asegurarse de que la información no se filtre ni se abuse de ella.
¿Por qué decidiste dar a conocer la información antes de conseguir más recompensas?
Hacerlo correctamente es más importante que recolectar recompensas. Creo que he tenido lo que me corresponde y ahora quiero contribuir a la comunidad. Además, llevo meses informando a las empresas sobre este tema, por lo que cada vez más personas lo sabían. No quería que alguien con malas intenciones lo filtrara o abusara de él.
¿Qué opina de las respuestas de las empresas afectadas?
La mayoría de las respuestas fueron satisfactorias. A algunas empresas realmente no les importaba, pero al final del día, es su pérdida. Ser rechazado como investigador de seguridad es parte del juego. Al menos no recibí ninguna demanda. Hace 10 años, probablemente ese hubiera sido el caso.
Una última pregunta, en Reddit leí que has reclamado 8.000$ en recompensas por errores, ¿tienes planes interesantes de gastar este dinero?
En total, obtuve más de 20 000 dólares por este error. Más de la mitad se destina a impuestos. El resto lo dedico a cosas normales como viajes, salir a cenar,... nada descabellado. :-)
¡Muchas gracias por tu tiempo y buena suerte cazando en el futuro!
El error sigue ahí fuera. No es algo que se pueda solucionar de inmediato. Durante los últimos meses, me puse en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para corregir su configuración.
A principios de este mes, un cazarecompensas de bichos belgas, Inti De Ceukelaire reveló un truco creativo que afecta a cientos de empresas. El truco consiste en explotar lo defectuoso lógica empresarial en los populares servicios de asistencia y rastreadores de problemas para acceder a intranets, cuentas de redes sociales o, con mayor frecuencia, a los equipos de Yammer y Slack. Puedes obtener más información en Entrada de blog propia de Inti. Me impresionó la creatividad necesaria para crear esta hazaña y sentí curiosidad por conocer el proceso que implicaba, así que decidí hacerle algunas preguntas a Inti y comparto sus respuestas con ustedes.
Hola Inti, ¿puedes presentarte brevemente a nuestros lectores?
Soy Inti, cazarrecompensas de insectos en Intigriti y Hackerone. Vivo en Aalst (Bélgica) y paso mis días rompiendo cosas.
La semana pasada leí tu entrada de blog sobre lo que desde entonces llamaste «Ticket Trick» y me impresionó tu creatividad para encontrar este exploit. ¿Cómo se te ocurrió la idea de probar este truco?
Participo en programas de recompensas por errores, lo que significa que ciertos sitios web ofrecen dinero a los investigadores de seguridad responsables que descubren vulnerabilidades únicas. Como hay mucha competencia, tienes que seguir buscando cosas que otros no hayan encontrado todavía. Pensé que Slack era un vector de ataque interesante porque, a menudo, contiene información confidencial y, a veces, solo requiere un correo electrónico corporativo válido. Así que me tomé una cerveza, me acosté en el sofá y empecé a pensar en todos los posibles vectores de ataque. De repente tuve una idea descabellada y resultó que funcionó. Por lo general, pruebo todo lo que se me ocurre. Aunque eso solo funciona unas pocas veces, vale la pena. ;-)
Como alguien que normalmente trabaja en el lado opuesto, intentando proteger el código, a menudo me pregunto qué aspecto tendrá una sesión de pentesting. ¿Dónde trabajas? ¿Es algo que también haces en tu tiempo libre desde el sofá? ¿O te sientes en una oficina?
Durante el día trabajo como programador creativo digital en una emisora de radio llamada Studio Brussel. Implica algo de programación y algunas redes sociales, pero no hay seguridad. Intento no mezclar mi afición con mi trabajo profesional. Me temo que perdería mi creatividad si lo hiciera. No pirateo tan a menudo: un máximo de unas pocas horas a la semana. Puede estar en la mesa, en el sofá o en mi cama, lo que sea cómodo en ese momento.
¿Cómo se empieza? ¿Tienes una hoja de trucos? ¿Tienes algunas entradas para comprobar si hay suficiente validación de entradas o escapes de salida?
Soy muy caótico, así que no tengo una lista de verificación, solo uso mi instinto. La mayoría de las veces empiezo con algo llamado reconocimiento: enumerar toda la información interesante sobre los objetivos, los subdominios, las direcciones IP, todo lo que puedo encontrar. Intento ver el panorama general y entender la lógica empresarial incluso antes de empezar a hackear. Si te centras únicamente en las vulnerabilidades habituales, te perderás muchos de los defectos más ingeniosos y complejos. En lo que respecta a la entrada, intento cubrir tantas vulnerabilidades como sea posible en una sola carga útil. Siempre que descubro algo interesante, juego un rato con ello y le pongo un montón de tonterías, solo para ver cómo reacciona el sistema ante ello. Los mejores errores suelen encontrarse en las partes más remotas de una aplicación web, así que intento profundizar lo más que puedo.
¿Qué crees que hace que un pentester sea bueno? ¿Tienes algún truco bajo la manga que puedas compartir con nosotros?
No soy un pentester, así que no puedo hablar en nombre de los pentestres en general, pero creo que la motivación y la persistencia son los activos más importantes. La mayoría de las personas ni siquiera piensan en buscar vulnerabilidades de seguridad en Google porque tienen a los mejores ingenieros del mundo y, sin embargo, pagan millones de recompensas por errores cada año. Llevo trabajando en un objetivo desde hace más de 2 años y ahora empiezo a descubrir los errores más interesantes. Lleva un tiempo. El problema de las pruebas previas normales es que los evaluadores reciben una cantidad fija, independientemente de que encuentren vulnerabilidades críticas o no. Creo que todavía quedan muchos errores en Facebook, solo hace falta alguien que esté dispuesto a profundizar lo suficiente.
Cuando te diste cuenta de la magnitud del Ticket Trick, ¿qué fue lo primero que pensaste?
Tenía sentimientos encontrados. Me sorprendió e inmediatamente pensé en las recompensas por errores que podría conseguir con él, pero por otro lado me sorprendió que fuera posible. Cuando te encuentras con algo así, de repente te quedas con un montón de información valiosa que podría interesar a los malintencionados. El proceso de divulgación es difícil: hay que informar al mayor número posible de empresas afectadas, pero, por otro lado, hay que asegurarse de que la información no se filtre ni se abuse de ella.
¿Por qué decidiste dar a conocer la información antes de conseguir más recompensas?
Hacerlo correctamente es más importante que recolectar recompensas. Creo que he tenido lo que me corresponde y ahora quiero contribuir a la comunidad. Además, llevo meses informando a las empresas sobre este tema, por lo que cada vez más personas lo sabían. No quería que alguien con malas intenciones lo filtrara o abusara de él.
¿Qué opina de las respuestas de las empresas afectadas?
La mayoría de las respuestas fueron satisfactorias. A algunas empresas realmente no les importaba, pero al final del día, es su pérdida. Ser rechazado como investigador de seguridad es parte del juego. Al menos no recibí ninguna demanda. Hace 10 años, probablemente ese hubiera sido el caso.
Una última pregunta, en Reddit leí que has reclamado 8.000$ en recompensas por errores, ¿tienes planes interesantes de gastar este dinero?
En total, obtuve más de 20 000 dólares por este error. Más de la mitad se destina a impuestos. El resto lo dedico a cosas normales como viajes, salir a cenar,... nada descabellado. :-)
¡Muchas gracias por tu tiempo y buena suerte cazando en el futuro!
El error sigue ahí fuera. No es algo que se pueda solucionar de inmediato. Durante los últimos meses, me puse en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para corregir su configuración.
%20(1).avif)
.avif)
