18 Haziran 2022
TL;DR işin içine para girdiğinde işler çirkinleşebilir. En iyi seçeneğiniz, şartlar konusunda net olmak ve 50/50 kuralına bağlı kalmaktır. Ayrıcalığınızın olmadığı kişilerle bilgi paylaşmayın.
Hata ödülü topluluğuyla ilgili beni sinirlendiren şey, herkesin işbirliğinin ne kadar harika olduğundan bahsetmek istemesi, ancak kimsenin bazen ortaya çıkan zehirlilik hakkında konuşmak istememesi. Beş yılı aşkın bir süredir hata ayıklama çalışmaları yürüten ve sektördeki pek çok harika bilgisayar korsanıyla işbirliği yapan biri olarak, aşağıdaki hususlara çok dikkat ederek bu zararlı etkilerin çoğundan çok şükür kaçınmayı başardım:
1) Araştırmayı kim biliyor?
2) Araştırmaya ilişkin terimler konusunda açık sözlü olmak
3) 50/50 bölme yapmak (endüstri standardı)
4) Dikkat çekmemek için araştırmanızın ödül miktarı gibi şeyleri paylaşmayın
Bu araştırma konusunda şeffaf olduğumuz bazı Slack gruplarının içinde olduğumuz için, güvenlik açıkları/teknikler/araştırma hakkında katkıda bulunmadan bilgi edinmek için ellerinden gelenin en iyisini yapmaya çalışan birkaç kişinin ve bazı durumlarda bu kişilerin üzülürler çünkü araştırmadan para kazanamazlar, özellikle de araştırmanın ne olduğu kendilerine gösterilirse.
Bu noktada, ilerlemenin en iyi yolunun araştırmanızı kiminle paylaştığınız konusunda son derece dikkatli olmak olduğunu öğrendim; bu konuda heyecanlı olsanız ve bir arkadaşınıza bunun ne kadar harika olduğunu göstermek isteseniz bile, bir kez gösterildiğinde genellikle bunu beklerler. bundan yararlanmak için bu araştırmayı kendileri kullanabilirler.
Sınır koymak iyidir ancak bazı durumlarda insanlar bunu sert karşılar. Durumlar karmaşık olabilir; araştırma üzerinde başka biriyle çalışıyor olabilirsiniz ve muhtemelen araştırmayla ilgili ayrıntıları üçüncü bir tarafla (yani arkadaşınızla) paylaşmamalıydınız. Bu sosyal karmaşıklığın üstesinden gelmek zor olabilir.
Durumun zehirliliğinin strese, zihinsel sağlık sorunlarına yol açtığı ve uzun vadede ilişkileri kötüleştirdiği durumlara defalarca maruz kaldım. Bazen durum o kadar kötüye gidiyor ki, insanları bir daha onlarla işbirliği yapmamaları için kara listeye alıyorum (bu işe yarıyor ama bunu kullanabilmeniz için önce bir kez yakılmanız gerekiyor).
Neyse, hepsi bu. Bilgisayar korsanlarıyla işbirliği yapmayı seviyorum ama bazen neden hata ödülleri verdiğimi sorgulamama neden olan olumsuz deneyimlerim oluyor. Önde gelen böcek ödülü avcılarının bunun bilincinde olduğunu biliyorum ve eminim ki en önde gelen böcek ödülü avcılarının bu zehirliliği deneyimledikleri bir hikayesi vardır.
Bu sorun insan doğasıyla yakından bağlantılı olduğundan platformların bu konuda fazla bir şey yapabileceğinden emin değilim. Teknolojiye veya ilkeye dayalı olsun, işbirliği içinde toksisiteden kaçınma konusunda ek fikirleri olan herhangi birinin olup olmadığını duymaktan memnuniyet duyarım.