Du har ikkje krav på noko.

Facebook betaler jo om du tipser dem for hull.

Men er det kanskje litt smålig av vg.no å ikke gjøre noe mer enn bare å si "takk for tipset"?

Noen stor sum får du nok ikke TS, men hvis du vil ha en blomsterbukket er jeg sikker på at de kan ordne det hvis du spør pent.

Og selvfølgelig vil administrator kunne se at du har prøvd på noe, du besøker jo URLer og legger dermed igjen spor.

Hvor mye penger jeg tjener på det driter jeg egentlig i. Men det at de bare sier takk for tipset er det som irriterer meg.
Dessuten så er facebook løgnere, Er utrolige mange som har funnet xss & sqli hull men ikke fått noe for det (Vet dog de har sagt de skal gi 500 dollar eller om det var 5000.

Det skulle jo egentlig bare mangle at vg gjorde noe mer enn å si takk. Det er som å gi tilbake en koffert med flere millioner i (Pleier som oftest å få 10?% av finnerlønnen...ca).

Faen for en whining du har. Det du driver med er i utgangspunktet ikke lovlig engang, så jeg forstår ikke hva problemet er? Du har ikke krav på annet en smekk.

Fortell meg - Hva er det som ikke er lovlig?

Vri på det.

Send dem en mail om hva du har funnet,i generelle vendinger, og fortell at du selger kunnskapen om hva som er feil. Ikke vær spesifikk nok til at de enkelt kan finne det selv basert på det du forteller. La de foreslå prisen for kunnskapen. Vis gjerne til de feilene du allerede har identifisert for dem. Er ikke summen bra nok, så lar du vel bare være å si hva som er exploiten.

ikke lov? det kommer helt an på hvor langt han tøyer grensa, og hva problemet er? kanskje han liker og finne sikretshull osv. ikke noe galt med det. mange som har stor intresse for slikt

Mange har slik interesse ja, men med mindre du har faktisk lov til å gjøre det på det systemet man gjør det på, så gjør man noe ulovlig. Intensjonene kan være gode, det er fortsatt ulovlig. Teknisk sett blir det ikke noe bedre at man prøver å si fra om det.

Hvordan skal det være ulovlig og "Finne" sikkerhetshull (Xss i dette tilfellet) om man ikke misbruker disse?

Kan vel muligens sammenliknes med å gå og kjenne på dører til noen sitt hus, og bare bryte seg "litt" inn. De skal jo bare sjekke om det går an å bryte seg inn.

Og så er det jo slik at jo mere ubehagelig det er for de du finner et hull hos, jo mer ulogisk (i forhold til intensjonen din) vil de reagere. Denne tråden gir fine eksempler på det: http://freak.no/forum/showthread.php?t=89577

Du er heldig som får en takk, det er skjeldent du får noe annet.
Støre sansynelighet er det for å bli andmeld for datainnbrud.

Kort forklart: IT-admin liker IKKE blir kritisert(noen som finne exploits vil si) , det vil i gjen si dem får mer jobb+ kjeft fra sjefen.

Er det virkelig slik? Det håper jeg ikke.

Dersom du legger frem sikkerhetshullet du har funnet og en mulig løsning for admin på problemet på en bra måte så får du vel som regel takk? Vertfall om du ikke har endret på noe av systemet deres. Forstår at sysadmins som ser at det blitt utført endringer i deres system for å få frem et poeng om at systemet er sårbart blir irritert.

Tviler sterkt på at Saint123 vil bli anmeldt for å kun opplyse om sikkerhetshull slik han har gjort her. Håper han forsetter med det.

Nå vet jeg ingenting om Saint123, men dersom han ønsker å jobbe i sikkerhetsbransjen en gang så kan denne episoden være verd å nevne under et intervju. Så vil han med en gang skille seg ut fra mengden og da få realisert en belønning for arbeidet han har gjort mot vg.no selv om det ikke kommer fra vg selv.

Nei. Så sant du ikke opplyser noen på utsiden av systemet om hvordan de kan bruke disse hullene for å hente ut informasjon de ikke skal ha tilgang til. Så det du har gjort er ikke ulovlig, men dersom du hadde postet sårbarhetene her så hadde det vært ulovlig.

Her er det jeg fant på lovdata.no

§ 145. Den som uberettiget bryter brev eller annet lukket skrift eller på liknende måte skaffer seg adgang til innholdet, eller baner seg adgang til en annens låste gjemmer, straffes med bøter eller med fengsel inntil 6 måneder eller begge deler.

Det samme gjelder den som uberettiget skaffer seg adgang til data eller programutrustning som er lagret eller som overføres ved elektroniske eller andre tekniske hjelpemidler.

Voldes skade ved erverv eller bruk av slik uberettiget kunnskap, eller er forbrytelsen forøvet i hensikt å skaffe noen en uberettiget vinning, kan fengsel inntil 2 år anvendes.

Medvirkning straffes på samme måte.

Offentlig påtale finner bare sted når allmenne hensyn krever det.

§ 145b. Den som uberettiget gjør tilgjengelig for andre passord eller andre data som kan gi tilgang til et datasystem, straffes for spredning av tilgangsdata med bøter eller fengsel inntil 6 måneder eller begge deler.
Grov spredning av tilgangsdata straffes med fengsel inntil 2 år. Ved avgjørelsen av om spredningen er grov, skal det særlig legges vekt på om dataene kan gi tilgang til sensitive opplysninger, om spredningen er omfattende og om handlingen for øvrig skaper fare for betydelig skade.

Medvirkning straffes på samme måte.

Les 145b du, Sonic...

Uhmm.. For noe piss. Det er da ikke ulovlig å kunne "se" en feil i sikkerhetssystemet uten å faktisk lete etter det. At jeg ser en person legger nøklene sine under dørmatta si betyr ikke nødvendigvis at jeg vil misbruke det ved å gå å hente nøklene og låse meg inn da eieren er borte. (Bildelig forklart). Dog hadde jeg gjort dette eller i det minste prøvd og låse meg inn hadde jeg kunnet bli straffet.


Feilene kommer nok aldri til å bli postet her heller ettersom jeg ikke vil at det skal utnyttes. Intensjonen har aldri vært å gjøre noe skadelig mot siden, selv om det er fullt mulig.

Det er ikke å kjenne litt på dørene til huset engang, Langt ifra.
Denne feilen kunne hvem som helst ha "funnet" uten og legge merke til det engang, av den grunn gjør det ikke dem "skyldig". Og jeg som merka at det var en feil med siden gjør ikke meg mer skyldig heller, før jeg eventuelt benytter meg av å bruke denne feilen?

Var en del nffere som prøvde seg på tele2 sitt bestillingssystem hvor det eneste de gjorde var å endre på url-er som var fritt tilgjengelige. Du kan jo gjette ca hvor bra metaforen om å "kjenne på håndtaket" hjalp for dem. (Hint: Det ble politirazzia, avhør og bøter)

Ingen fare isåfall for meg. "Prøvde seg på tele2 sitt bestillingssystem" Skriver du.
Høres ut som de gikk inn for å finne disse feilene med siden, og besøkte dem ikke bare som jeg har gjort. Vet du forresten hva det ble razzia, og bøter for?

Kanskje du burde spesifisert finnerlønn bedre før du leverte pengehesten. Ellers avhenger det av VG's mening av hvor stort hullet er... kan samtidig ikke tenke meg at VG er den mest generøse mannen i gata. Du skulle heller brukt tiden på Spotify -- der fikk jeg 1 år med premium for det samme.

I virkeligheten bryr jeg meg ikke så mye om hvor mye penger det er, Hvor mye kaker jeg eventuelt får tilsendt eller whatever. Men det som irriterte meg var at jeg bare skulle få et takk liksom. Men men, Skal ikke whine mer som sagt.

Har nå sendt en email til it avdelingen dems med problemet og en løsning på det, så får jeg se hva som skjer.
Ja, skulle vel kanskje det. Men som jeg sa - Jeg har ikke brukt noe tid på dette, jeg har ikke gått for å sjekke dørhåndtakket, jeg har bare oppdaget at en dør av 1000 dører sto åpen for alle..så og si. (Har ikke gått inn).

Dessuten, Er godt fornøyd med spotify uten premium.

så du har ikke skaffet deg adgang til data når du finner et sikkerhetshull? og sliter med å se hvor i 145b det står at 145 ikke er gyldig sålenge du ikke utnytter det.

Adgangen ligger jo tilgjengelig for alle, Om du ser etter det eller ikke.
Sikkerhetshullet har du mest sannsynlig "sett" også om du har besøkt VG sine hjemmesider nylig. (Mer om selve hullet trenger jeg ikke si).

Dermed, Jeg har ikke gjort noe som strider eller? Jeg har jo liksom bare lagt merke til at noen har glemt å låse døra si når jeg har gått forbi. Og ikke har jeg valgt og gå for å åpne denne døra med nøkkelen som ligger oppå matta.

Trodde man bare fant slike ting ved å lete. Men hvis du ikke har gått inn aktivt på noen som helst måte for å finne det skal jeg si meg enig i at 145 ikke kan brukes

Tror den eneste (lovlige) måten å få noe ut av dette på er å tipse en konkurrent (f.eks dagbladet) om saken og få noen form for tipsgodgjørelse av dem mot å stille opp i saken

Tenkte på det, Men ettersom medvirking vil si det å f.eks si ifra til andre om akkurat disse hullene. (Hva om dagbladet bestemte seg for å misbruke hullene ved å gjøre skade, da blir jeg også stilt ansvarlig ettersom jeg informerte dem om det) så tror ikke det hadde vært det beste valget.

Skriv en Proof of concept, og si at du selger denne til høystbydene da du faktisk vil ha noe igjen for koden din?

Høres ut som noe som vil bli sett på som utpressing. Hadde jeg vært bedriftleder og blitt møtt av en slik mail hadde jeg politianmeldt.

Takk for ide'en. Skal huske på det til neste gang om kommer over noe lignende.

Det finnes mange exploits-sider med folk som betaler godt for sikkerhetshull. Kjenner ikke noen konkrete, men du kan få mer enn hos VG, vil jeg tro..

Har uansett gitt beskjed til vg nå og intensjonen var som sagt aldri å gjøre skade med siden,

Hvorfor irriterer det deg? Er det ikke bare koselig at de takker deg da?

nå har jeg kun lest et fåtall av postene her.

men ser nødvendigvis noe problem med å få solgt informasjonen neste gang, da du i utgangspunktet selger en tjeneste. jobben du har gjort med å finne disse hullene er jo en jobb de i utgangspunktet skulle gjort selv.

jeg jobber i en elektrobedrift, vi leiger ofte inn folk til å gjøre ventilasjonsjobber, og andre små elektrojobber for oss. i bunn og grunn blir jo din situasjonen på en måte det samme(dog satt på spissen).

du er vel ikke pliktig og informere de om det, så prøv å selg det neste gang. om du har jævli roen på koding kan du jo kanskje tilby deg å fikse det og.

Ville ikke prøvd å presse dem da VG har mye makt som de kan utnytte.

Jeg skjønner ikke at du blir irritert over å bli takket. Hva annet forventet du deg? VG har vel aldri gått ut med noen lovnader om finnerlønn for sikkerhetshull, og det er begrenset hvor stor skade XSS kan gjøre på en nyhetssider som ikke krever innlogging.

Tele2-saken beviste at selv om det *kun* ble besøkt URLer på en nettside så var dette nok til å få folk dømt. "Intensjonene" om å "tilegne seg informasjon man egentlig ikke skal kunne få tak i" holdt visst i lange baner for politiet.

Selv med de beste intensjoner er det å lete etter slike sikkerhetshull en ulovlig aktivitet (det kan antas at du var på utkikk etter et større hull for å bryte deg inn) og en takk er mye bedre enn en anmeldelse.

Hvis jeg hadde lagt inn en persistent Xss med iframe ... F.eks en pornoside hadde jo alle som besøkte den givne url blitt sendt direkte til pornosiden, Kanskje ikke like gøy for alle. Og som sagt var intensjonen aldri og tilegne meg informasjon ved å besøke disse sidene men ettersom jeg besøkte dem så jeg at utallige dører kunne blitt åpna ved hjelp av å bare dra i håndtaket. (Noe jeg forsåvidt ikke gjorde). Har forresten fått melding ifra vg.no og fikk 500kr for å melde fra om dette.

Også var det ikke sånn at jeg lette etter disse hullene

Case Solved!

Du kan jo si ifra til VG at du har funnet hull i deres webside, og at du er villig til å gi dem informasjon om hva du har funnet hvis du får belønning for det?

du kan gjøre enormt mye mere skade, en java drive by koblet til botnettet ditt i iframe så har du infectet halvparten av alle norske pc'er og kan ddose/selge bots og blir svæær