Groupon отказывается платить ИБ-эксперту за обнаруженные XSS-уязвимости на сайтах компании

image

Теги: уязвимость, брешь, вознаграждение

Groupon заявила, что ИБ-специалист нарушил политику раскрытия информации компании, следовательно, выплат не будет.

Обнаружив ряд уязвимостей на сайтах сервиса предоставляющего скидочные купоны Groupon, ИБ-исследователь из XSSposed.org Брут Лоджик (Brute Logic) надеялся получить вознаграждение от компании, однако Groupon  отказывается  платить. В общей сложности Лоджик выявил более 30 проблем безопасности. 

Лоджик несколько дней назад обнаружил 32 XSS-уязвимости на сайтах Groupon. ИБ-эксперт утверждает, что опасные бреши могут быть использованы мошенниками в кибератаках, направленных на получение контроля над URL-адресами пользователей. Злоумышленники с помощью данных уязвимостей способны похитить личные данные о кредитных картах абонентов Groupon.

17 апреля ИБ-эксперт незамедлительно сообщил Groupon о найденных ошибках. В свою очередь, представители компании заявили, что проанализируют найденные проблемы, а уже через пару дней сообщили, что уязвимости были исправлены. На вопросы Лоджика о вознаграждении, Groupon заявила, что ИБ-специалист нарушил их политику раскрытия информации, следовательно, выплат не будет.

Дело в том, что обнаруженные Лоджиком уязвимости вначале по ошибке были опубликованы на XSSposed.org. Согласно политике раскрытия информации Groupon, информация о найденных брешах в первую очередь должна быть передана представителям компании. Groupon заметила публикацию на XSSposed.org и не смотря на то, что сообщение было незамедлительно удалено, компания отказалась выплачивать финансовое вознаграждение ИБ-эксперту.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.