ログを確認したところ、「OPENBUGBOUNTY」のキーワードがあり、調べてみたらキーワードに一致する団体が見つかった。
最終的にこの団体からのアクセスか否かは判断できなかったのだが、今日はこれをネタにしたいと思う。
国内ではマイナーな存在なのか、ネット記事も少なく、wikipedia先生に聞いても日本語版は無かった。
Open Bug Bountyは、非営利のBug Bountyプラットフォームとのこと。
ホワイトハッカーは、このプラットフォーム上で、自分が発見したクロスサイトスクリプティングやその他の脆弱性を報告することができる。
報告されたサイトは、「Open Bug Bounty」のサイトに「On Hold(保留中)」として掲載される。
この保留には90日間の猶予期間があり、それ以上長く放置をしておくと、バグの詳細が公開されることになる。
その前に、脆弱性を見つけたホワイトハッカーに連絡をとれば、個人的にバグの詳細を教えてもらえるという。
脆弱性を晒されるのは辛いな。
ホワイトハッカーは善意の人の前提で考えると、
ホワイトハッカーは脆弱性を見つけるとまずサイト運営者に連絡をするはずである。
サイト運営者がホワイトハッカーを怪しんで無視するようなことをすると、「Open Bug Bounty」はサイト運営者を怠慢と認定し、バグの詳細を晒すという感じなのだろう。
特に大企業はホワイトハッカーをないがしろにするような感じがあるので、気を付けたい。