Devrais-je répondre à un "pirate éthique" qui demande une prime?
Je gère une petite entreprise basée sur Internet de chez vous et gagnez sa vie pour nourrir ma famille, mais je suis toujours un spectacle d'un seul homme et que la sécurité Internet est loin de mon domaine d'expertise.
Hier, j'ai reçu deux courriels d'un gars qui s'appelle lui-même un "pirate éthique" et a identifié deux vulnérabilités dans mon système qu'il a dit pourrait être exploité par des pirates. Je le crois.
Le problème est que, au bas de chaque courrier électronique, il dit qu'il "s'attend à ce qu'une prime soit payée". Est-ce que ce courrier noir? Est-ce sa façon de dire que vous feriez mieux de me payer ou que je vais faire des ravages? Ou est-ce une méthode typique et légitime pour les personnes de gagner sa vie sans intentions néfastes?
Edit : Pour plus de clarification: il m'a donné deux exemples de vulnérabilités avec des captures d'écran et des instructions claires sur la manière de résoudre ces vulnérabilités. On devait changer la partie "? Toutes" une partie de mon enregistrement SPF à "-Tout" pour bloquer tous les autres domaines d'envoyer des courriels pour mon domaine. Dans l'autre email, il a expliqué comment mon site a pu être montré à l'intérieur d'une iframe (permettant une technique appelée "Clickjacking") et il incluait également un exemple du code et des instructions sur la manière de l'empêcher.
C'est ce que nous appelons le piratage "gris chapeau". C'est un mélange d'intentions de chapeau blanc et noir. Les chapeaux gris signalent généralement des vulnérabes pour des sites Web, mais pas hors de bonne volonté. Ils vous diront généralement de payer une prime et ils le répareront pour vous. Ils pourraient éventuellement être des escroqueries, mais la plupart vous diront que c'est ou quelque chose à vous prouver la légitimité. Ils le font normalement cela non sollicité.