Оплата за взлом

Доброго времени суток, господа. У кого-нибудь был опыт "пожертвований" вам от администрации ресурса после демонстрации взлома? Перед тем как выкладывать те же скули, я всегда стараюсь оповестить владельца (или администратора) сайта о факте взлома, подкрепляя ссылками на ресурсы о предотвращении подобного. Почти никто, конечно, не читает это, но некоторые фиксят (например, Гарвард не сказал даже "Спасибо", но скулю убрали). Имеет ли смысл просить о компенсации времени и сил затраченых на взлом (читать "на указание слабых мест в защите сайта")?
На днях попался серьезный ресурс, связанный с финансовыми операциями, потери, при эксплуатации уязвимости не такими добрыми людьми как я, будут огромными.
Как лучше натолкнуть вебмастера на мысль, что я не прочь вместо обычных бутербродов скушать, например, пиццу?

inb4: сайт не спалю, использовать в плохих целях уязвимость тоже не планирую, вымогать деньги тоже

 

Хеккер Робин Гуд )
можно до отчета о багах, сказать и показать свой портфолио где ты занимаешься аудитом в ИБ и после аудита уже дать отчет и потом потребовать на пиццу)

 

Да нет, я не фанат безвозмездой помощи, да и основная работа не связана с хаком, это так, хобби.
А вообще спасибо, но тут пара моментов - все мое портфолио находится в теме "SQL Инъекции" на хакерском сайте, что никак не сходится с аудитом в ИБ; ну и естественно, могут не согласиться на "аудит".
Так-то сразу хочу скинуть всю информацию, но могут сделать так же как и остальные - пофиксить и запихнуть мое мыло в спам. Единственное что может остановить так сделать (по моему скромному мнению) - угроза репутации и уменьшение потока клиентов. Ну и возвращаясь к началу моего сообщения - не хочется терять возможность получить такую своеобразную награду, так как им это жить не помешает, а мне весьма поможет не думать об оплате интернета и коммунальных услуг еще какое-то время. Так что жду предложений и параллельно пилю сайт-портфолио.

 

Пытался несколько раз подобным заниматся - в основном предлагал платную помошь в исправлении бага. причем всю инфу по багу скидывал сразу с док-вами его наличия. В лучшем случае - игнорят, в худшем считают за шантаж и ругаются.

Один раз только какой-то парень с браузерной игрой заплатил мне 300 рублей просто так, я даже его не просил. )

Я к тому, что занятие довольно безперспективное и расчитывать на что-то не стоит.

 

я пару багов обналил, сразу написал где и как исправить а потом так ненавязчиво предлагал помощь по поиску других уязвимостей и мне платили =)

 

А мне даже контакты вебмастера пока не дали. Неблагодарный труд так-то.

 

мало кто будет оплачивать

 

Просить деньги за то что ты кавычек им понавтыкал?))
Если предложишь пофиксить, то конечно обязаны заплатить, а так лучше не позорься.

 

ага, падают на измену и грозят милицией.

 

можно ихнюю базу слитую им кинуть для доказательства, а уязвимость после оплаты, могут принять за шантаж, несправедливость ситуации в том что шансы огрести намного выше чем если её продать преступникам, потому что ты прям перед ними, контакты с которых ты пишешь, реквизиты на которые просишь оплату, а при продаже в третьи руки всё намного запутанней

 

Вот и получается... что проще и безопасней продать шелл на ачате )

 

И после заявы куда нужно, будут знать куда идти. А реакция на несанкционированный доступ к своим ресурсам, даже без шантажа от взломщика, как правило негативная, вплоть до разборки с правоохранителями.

 

Получал гонорар от Mail.Ru Group взамен того, что не буду распространять предварительно слитую их БД. Причем сперва они пытались надавить, писали обузы на домен и хостинг. Однако, после того как ресурс с БД переехал в Китай, со мной связался представитель из начальства и сам предложил замять назревающий скандал. Гонорар выплатили в течение недели через биткоины.

 

а сколько забашляли в BTC?

 

ТС'у, расписал ты конечно все красиво, но в УК любой страны есть статья за вымогательство, так что...

 

так что... так что, всем насрать

 

Cпасибо, интересно. Вообще спасибо всем, кто отписал, я забегался и не уследил за темой.

Где-то выше по теме писали про вымогательство - я ведь не говорил про это ничего. Скинуть уязвимость, рассказать где они не правы и что с этим делать. Ненавязчиво попросить на печеньки за то, что делаешь работу вместо вебмастера.
Конечно, скорее всего дырку залатают, а письмо проигнорят, но идея была такова.

 

не факт, что залатают..

но в идеале, да. Сообщить что не так, помочь зафиксить, предложить услуги может и можно, но это надо уже по переписке понять.. кто там с той стороны с тобой общается.

 

Контакты вебмастера не нашел, отписал в саппорт. Мне казалось что 3 дня - предостаточно для банка, чтобы ответить, но нет.

 

150к российских, по тому курсу это было 7 биток