Prezi bug hunt

HH a Webisztánon jól összefoglalta az előzményeket. A sztori vége:

Nyilván itt már PR-örvényben vannak és mentik a menthetőt. Egészen biztos vagyok benne, hogy a Prezi részéről semmi rosszhiszeműség nem volt, egyszerűen csak emberi mulasztásból, #fenesegondoltavolna, fény derült az 500 dollár per bug kiírásnál nagyobb baklövésre.

Sokkal érdekesebb ez a kérdés szervezetileg. Ha megnézzük a levelezést (PDF link), a Prezinél dolgozó Zs. Attilánál landolt a dolog. Ő a maga módján próbálta megoldani a dolgot, teljesen igaza volt, hogy a bughunt eredeti kiírására nem terjed ki a dolog, legyen elég, ha kapsz egy prezis mouse padot:

We’ve been offering swags (t-shirt/mug/etc) for everyone who reported valid but out-of-scope issues, and we don’t want to create a case of paying bounty for such findings, meaning I can’t offer bounty for your submission :(. However if you tell us your shipping address, I’m more than happy to send you the swags.

Sajnos a bugot kereső fiatalembernek ennél több ideje van, hosszas levélben kezdte el összefoglalni a témát, megírta a blogposztját, ezt aztán mindenki felkapta stb. (Mindent felkapnak, ha a címben szerepel a kattintékony “ellopták” és “forráskód” kifejezéspáros.)

A Prezi nem ismerte szerintem fel több szinten sem a dolog súlyosságát. Itt nem arról van ugyanis szó, hogy talált valami húszéves csokker egy kiírás szerinti out of scope problémát, hanem arról, hogy rátalált egy olyan, bárki számára elérhető információra, amivel nem csak újságcikkekbe lehet bekerülni, hanem képes anyagi károkat is okozni a vállalatnak.

Őszintén szólva, utólag könnyen okoskodva, már rögtön az elején, akár 2 ezer dollárt kellett volna adni a faszinak, hogy egy ilyen “exploitot” talált meg (azt nem tudom eldönteni, hogy annak a béréből kellene-e e levonni ezt a pénzt, aki ottfelejtette a config fájlt). Szervezetileg sajnos Attila szintjén a dolog még arról szól, hogy ne osztogassa össze-vissza a lóvét. Viszont most mindannyian tanultunk az esetből és abból, mennyire vékonyak azok a banánhéjak.

Okos vagyok, mert nem az én faszommal verik a csalánt.

update: a Prezi egyébként azóta mindent megtett, hogy kitekeredjen ebből a PR bombából, fizetnek a csávónak, átírták a kiírást, tanultak az ügyből, Halácsy Péter co-founder személyesen írt levelet mindenkinek, aki foglalkozott az üggyel (én is kaptam egy nekem írtat, nem is gondoltam volna).