С месяц назад накатал тут пост, как у ребяток протекли все данные. И это был худший опыт bug bounty за последнее время. Фикс был в течение суток. При этом в репорте переспросили, удалил ли я все факты и данные этой истории. Ведь они буквально были важные и конфиденциальные. А дальше случилась магия. "Мы считаем, что это High". Я их приободрил фактами про данные, простоту эксплуатации, минимум с полсотни технических возможностей, из-за которых они могут считать, что это уже сейчас databreach, а не vulnerability репорт. Ну и полиси HackerOne гласит что это Critical. Аргументы перевернуть не удалось, и пришлось поставить Critical. Но при этом багу вынесли в Tier 3, где 1500 — максимальная выплата. И даже тут заплатили не по таблице 🤦‍♂️ Мне лично пофиг, сколько выплата. Главное, чтобы она была честно оценена и в рамках правил. А тут с первых дней какие-то приколы и увиливания от критичности были. Хочется засунуть им ревард обратно и пожелать найти остатки незарепорченных уязвимостей самостоятельно 💁‍♂️