Názor k článku
Krádež relace na Seznam.cz: postup získání neomezeného přístupu k e-mailu od Filip Jirsák - Právě proto, že jsou vážné nálezy kombinací více...

Právě proto, že jsou vážné nálezy kombinací více chyb, dávalo by smysl motivovat i k hlášení samostatných menších chyb, které se v budoucnu ukážou jako součást větší chyby. Z popisu v odkazovaném příspěvku jasně plyne, že kvůli současnému systému existoval v systémech Seznamu vážný problém o několik měsíců déle, přestože někdo věděl o části toho problému – a oprava této části by celou zranitelnost zalepila.

Někteří lidé tráví měsíce psaním kódu do opensource projektů, jiní ho mohou trávit hledáním bezpečnostních chyb v cizích systémech. Ani v jednom případě to nemusí být obchodní model.

Kdyby to bylo tak, jak popisuju – tedy že by hacker první nalezenou chybu nahlásil hned, jak ji zjistí, bylo by to odlišení dobrých a zlých úmyslů snadné. Tvrdím, že současné bug bounty programy nejsou nastavené ideálně, protože motivují k tomu tajit méně závažné chyby a schovávat si je na dobu, kdy je dokážu pospojovat do závažnější chyby. Přičemž bug bounty programy mají právě opačný cíl – aby se provozovatel o chybě dozvěděl co nejdřív a mohl ji co nejdřív opravit.

Nemyslím si, že by bug bounty programy naopak neměly žádný smysl. Drtivá většina bezpečnostních chyb se najde interně. Ale z bug bounty programů jsou vypláceny odměny, což znamená, že jsou opravovány chyby, které by jinak zůstaly neopravené delší doba a byla by větší pravděpodobnost, že je někdo zneužije.