Frage von Bego82, 57

Brauche Rat, vorgehensweise?

Hallo,

Facebock zahlt Hackern Geld, um Legal zu Hacken, aber nur um dadurch das System Facebock sicherer zu machen.

Wenn aber jetzt einer (nicht Facebock) sondern in einem Server eine gefährliche Sicherheitslücke entdeckt hat, welche nicht an falsche Hände geraten darf, und dafür Geld haben will, da derjenige welcher diese Sicherheitslücke entdeckt hat, wie würdet ihr vorgehen.

Ich meine, wenn er damit an die Öffentlichkeit geht, dann würde es einen ernormen schaden geben. Und es ist einfach nicht illiegales, sonder man will einfach geld dafür, dass man dieses entdeckt hat, und man ist natürlich bereit, dieses dann zu melden, um dieses Sicherheitsleck zu schliessen, aber soll nicht umsonst sein.

Wie würdet ihr vorgehen??

mfg

Antwort
von gwf79, 16

Eins ist klar: Wenn Du hingehst und sagst "Ich habe eine Sicherheitslücke bei Euch gefunden, wenn ihr mir kein Geld gebt, gehe ich an die Öffentlichkeit", dann ist das schlicht und einfach Erpressung. Und ich würde mich nicht darauf verlassen, daß eine Bank da keine Anzeige erstattet.

Drei Ideen:

  1. Vorher anfragen, ob die Geld für gefundene Lücken bezahlen.
  2. Lücke melden, Rechnung für Sicherheitsdienstleistungen hinterherschicken.
  3. Bewerbung als Pentester an die Bank schreiben, gefundene Lücke als Arbeitsprobe mitschicken.

Aber eine Möglichkeit, mit Sicherheit und dennoch legal Geld von denen zu bekommen, sehe ich nicht.

Kommentar von Bego82 ,

das mit Erpressung ist zweideutig. Denn ich kann ja sagen, wenn ihr mir kein Angebot machen, dann werde (sonder MUSS) ich als Bürger an die Öffentlichkeit gehen, klingt zwar nach etwas Erpressung, ist es aber nicht. Ausserdem können die froh sein, dass ich dieses entdeckt habe, und damit ist halt nicht zu spassen

Kommentar von gwf79 ,

Ich halte das nicht für zweideutig: Du drohst rechtswidrig mit einem empfindlichen Übel, um Dich zu Unrecht zu bereichern.

Das empfindliche Übel hast Du selbst genannt: Bei einer Veröffentlichung würden sie Ansehen und viele Kunden verlieren.

Die Rechtswidrigkeit/das Unrecht ergibt sich daraus, daß es keinen Zusammenhang zwischen Deiner Drohung und Deiner Forderung gibt. Wenn Du sagen würdest "Ich habe eine Lücke gefunden, die eine Gefahr für Eure Kunden darstellt. Wenn Ihr die in zwei Wochen nicht gefixt habt, muß ich an die Öffentlichkeit gehen, damit alle gewarnt sind", dann wäre das etwas anderes. Aber davon, daß die Dir Geld geben, ist ja weder das Problem behoben noch sind die Kunden in Sicherheit.

Aber IANAL. Probier's halt aus und erzähl' uns dann, was passiert ist.

Antwort
von Lisa101097, 26

Man kann sich an Zeitschriften wie z.B. die c't wenden. So hat einer eine Lücke in ca. 1Mio(?) Routern von Vodafone publiziert.

Kommentar von Bego82 ,

ja und was hat er dafür bekommen??? hier geht es um was drastisches, und echt NUR durch zufall, eine Bank und einsicht in über 300.000 konten, stellen sie sich das mal vor, man kann nichts überweisen, aufgrund der Tan, und ich bin ehrlich und arbeite im sicherheitsdienst. Ausserdem, würde alle kunden oder zumindest die Hälfte die Bank wechseln. Nur man möchte einfach entlohnt werden. Und wenn ich an die zeitung gehe, verdient derjenige der es veröffentlicht und icht nichts, vielleicht zahlen die mir etwas dafür, aber das wird  ein lächerlicher Betrag sein

Kommentar von Lisa101097 ,

Ja und, da Geld rauszuquetschen wäre Erpressung. alle, die von Facebook, Google, etc. Geld bekommen tun das nach Veröffentlichung im Nachhinein. Aus Freundlichkeit/Als Dankeschön.

Antwort
von EVU1999, 32

Wenn der dir  kein Geld gibt bekommst du keins! Ich würde die Lücke per E-Mail an den Support schicken und ne gute Tat tun.

Kommentar von Bego82 ,

ja, so einfach würde ich das nicht machen, um es vorsichtig auszudrücken, damit die frage nicht gelöscht wird. 

Du würdest sofort die .... wechseln, weil du kein vertrauen mehr hast

Kommentar von EVU1999 ,

Jetzt mal bitte den Satz ohne ...

Kommentar von Bego82 ,

ja es geht um eine Bank, und ich will nicht zur bankaufsicht oder wie auch immer um das zu melden. Man möchte einfach nur entlohnt werden dafür, und ich meine, ich könnte ja erpressen und sagen, ja entweder geld, oder jeder wird benachrichtigt , und dann siehts schlecht aus

Kommentar von EVU1999 ,

Äh... du weiß schon das erpressen genauso wie bestechen illegal ist und die Bank dich da erst recht loswerden will aber bei einer Bank denke ich schon das du je nach Größe des Fehlers entlohnt wirst.

Kommentar von Bego82 ,

ne, ich denke das ist keine Erpressung, weil meine Verpflichtug gegenüber den Bürgern ist, denen das zu melden , also den Bürgern, aber wenn ich das mache, dann wechseln die erst recht die Bank, weil die kein Vertrauen mehr haben. Deswegen möchte ich mit dem Direktor sprechen, oder keine ahnung, deswegen stelle ich ja die frage, was würdet ihr machen, um legal etwas geld zu bekommen, weil man eine Sicherheitslücke gefunden hat, die von grossem Wert ist

Kommentar von EVU1999 ,

Wenn ich aufs Geld wäre würde ich fragen was ich bekomme wenn ich den gefundenen Bug fixe wenn zu wenig ist würde ich die Anderen warnen das die Bank unsicher ist

Kommentar von Bego82 ,

ja wie soll ich 300.000 leute warnen, ich wüsste zwar die Adressen, aber, dass allerschlimmste ist, dass die nie wissen werden, dass ich in ihrem konto war. lool

Kommentar von EVU1999 ,

Hallo wir leben in der Zeit des Internets (wie man erkennen dürfte)

Geh einfach zu onlinezeitungen schreibe einen Artikel und Verkauf ihn so bekommst du auch dein Geld. (Schreib aber nicht wie genau der Bug ausgelöst wird da das Dan wieder irgendwie zur Anstiftung interpretiert wird.

Kommentar von Bego82 ,

dass heisst, die onlinezeitung, also artikel, verkaufen, hmm klingt auch nicht schlecht. Aber dennoch, würden die kunden, falls ich dies in die Öffentlichkeit sozusagen verkaufe, trotz alle dem das Vertrauen ihrer Bank verlieren. Evtll. wäre es doch besser sich direkt an die Bank zu wenden, naja, hat noch einer Vorschläge

Kommentar von EVU1999 ,

Ich würde auch erst zue Bank gehen aber da mit ner höherem das abklären nur wenn die nein sagen würde ich das machen.

Keine passende Antwort gefunden?

Fragen Sie die Community