Эксперт требует у FireEye $40 тыс. за обнаруженные уязвимости в ее продуктах

На днях SecurityLab сообщал о четырех уязвимостях, обнаруженных в продуктах FireEye ИБ-экспертом Кристианом Эриком Эрмансеном (Kristian Erik Hermansen). Исследователь потребовал у компании вознаграждение за обнаруженные бреши (по $10 тыс. за каждую), однако FireEye не только не выплатила вознаграждение, но также попросила Эрмансена не раскрывать подробности об этих уязвимостях.

Эксперт опубликовал PoC-код для одной из брешей на сайте Pastebin, сопроводив публикацию заявлением: «Всего лишь одна из многих полезных уязвимостей нулевого дня в продуктах FireEye/Mandiant. Существует уже более 18 месяцев без каких-либо исправлений от этих «экспертов» безопасности из FireEye. Уверен, что эту и другие бреши в продуктах допустили сотрудники Mandiant. Что еще хуже, у FireEye нет внешних исследователей безопасности».

Как сообщает ИБ-эксперт Грэм Клули (Graham Cluley), представители ИБ-компании связались с Эрмансеном и его коллегой Роном Перрисом (Ron Perris) и напомнили о важности «ответственного раскрытия».

«Сегодня FireEye стало известно о четырех уязвимостях в ее продуктах благодаря их публичному раскрытию Кристианом Эрмансеном. Теперь бреши можно купить. Мы уважаем усилия исследователей безопасности, таких как Кристиан Эрмансен и Рон Перрис, которые ищут уязвимости в безопасности наших продуктов, но мы выступаем за ответственное раскрытие», - говорится в заявлении FireEye.