Koliko se zapravo nagrađuje rad kibernetičkih stručnjaka u Hrvatskoj?
Imao sam nedavno raspravu s prijateljem o ovoj temi i smatram da je sad pravo vrijeme da cujem i misljenja ostalih. Dakle, velike firme poput Googlea, Mete, Applea itd. imaju bug bounty programe gdje novcano nagraduju prijavljene ranjivosti i te brojke se krecu od nekoliko tisuca dolara za neki obican information disclosure ili XSS pa mogu dosegnuti i sest znamenki za one najgore, npr. RCE.
Medutim, evo, istaknut cu jedan reddit post star mjesec dana: https://www.reddit.com/r/croatia/comments/1tqltjz/coreevent\_ticketing\_platforma\_ima\_propust\_koji/
Citajuci naslov, a i neke komentare, ispada da ne samo da je tesko reci hvala, nego se jos prijeti tuzbama i prijavama jer je netko radio "nesto sto nije smio". Naravno da se u ovoj nasoj drzavici ne radi o milijarderskim firmama, ali ove tehnoloske koje imamo zasigurno provrte dovoljno puno love u prihodima da imaju nesto i za izdvojiti.
Pa me sada zanima, sto uopce realno netko moze napraviti kad naide na neki exploit? Ako bi netko honorirao ili nagradivao takve prijave, tko bi to bio? Jer ako sve sto se moze dobiti je "hvala" ili prijetnja, ne iznenaduje me zasto se takve stvari presucuju ili prodaju na crnom trzistu. Ne mislim na neke basic stvari, nego o necemu za sto se treba potrudit. Kao primjer, nije isto pogodit user admin pass admin na necijem sustavu video nadzora i pronaci nacin za generirat certilia elektronicki potpis u bilo cije ime.