Sitat av
ggda
Jeg tror veien etter jeg har lest dette er og kjøre hobby via bugcrowd da jeg har rep der, men kanskje la bedrifter kontakte meg? Har anskaffet masse tilbakemeldinger fra store bedrifter allerede jeg har "risket" meg på og tror jeg har nok til og heller markedsføre mine tjenester istedenfor
Ja, det er selvfølgelig lov å ta kontakt med bedrifter og høre om dette er noe de ønsker. Du kan også spørre om lov til å grave litt rundt før du eventuelt tar på deg en jobb. Det er ikke som om det å finne sikkerhetsfeil er ulovlig i seg selv. Problemet er at det er vanskelig å få tak i en person som faktisk har myndighet til å gi deg lov, og at denne beskjeden går ut til alle.
Dvs. du kan få lov av CEO i bedriften, men likevel ende opp med trøbbel. Dette f.eks. fordi en arbeider lengre ned på stigen oppdager forsøk på innbrudd, og setter i gang med sine rutiner, og sjefene er ikke klar over hva disse rutinene går ut på - eller får ikke beskjed før det er for sent. Derfor er det veldig viktig å bruke litt tid på å ha det formelle i orden, fremfor å bruke mye tid og penger på å ro deg inn igjen når det først går galt.
Skal nevnes at det finnes en del OSINT-verktøy der ute som faktisk gjør rudimentær scanning av systemer 24/7, og som du kan søke i metadataene til. Hvis du oppdager utdaterte versjoner av software e.l. blant disse dataene, så har du fortsatt en fot i døra for å markedsføre dine tjenester, uten å ha brutt loven selv. Men du må være forberedt på å forklare litt hvor du kom over metadata, og gjøre ditt beste for å ikke virke utpressende mot de. Et dårlig eksempel er om du sender en epost av typen "Jeg har fulgt med på dere en stund nå, og har oppdaget en del sikkerhetsfeil dere må fikse, ellers kan dataene deres komme på avveie. Mine tjenester starter på X kr/timen, og du kan kontakte meg på ...".