Этика опубликования информации об открытых багах в СМИ

Всем привет! Неделю назад в песочнице geektimes был опубликован пост, который с виду абсолютно рядовой. Автор обнаружил баг в мобильном приложении Юлмарт и сообщил об этом через сервис отзывов и предложений (с его слов).

Нравится

Send

В течение пары дней он получил ответ, что информацию передали и в ближайшее время поправят. Подождав терпеливо (а может и нет) недельку с небольшим, баг исправлен не был и он со спокойной душой публикует вышеупомянутый пост.

Вот уже неделю мы с коллегой спорим об этом неоднозначном поступке автора. Все началось с простого вопроса «а этично ли он поступил?».

С виду все нормально: нашел -> оповестил -> подождал -> рассказал. Но между «подождал» и «рассказал» нет «баг закрыт». Что и послужило поводом к столь продолжительному спору.

Автор ничего сверхестественного, требующего технических компетенций не совершал, на этот баг мог наткнуть любой пользователь в любой момент. Но он указал на «открытую дверь», ведущую к чужой коммерческой информации, быть может и конфиденциальной.

Вспоминая следствия раскрытия информации о пользователях ресурса Ashley Madison, фантазия начинает выдавать сюжет за сюжетом.

А что на это счет думаете Вы? Следовало ли ему ждать закрытия или же он поступил правильно?

В избр. Сохранено

Нравится

Комментарии

Taras Nikitin

10 сен 2015

Можно посмотреть на ситуацию вот так: шел парень по подъезду, смотрит у соседа дверь не заперта, приоткрыта дверь, ну тот позвонил ему по телефону, сосед сказал что молодец парень, спасибо ему от души и что уже едет квартиру закрывать, а парень подождал 15 минут, и решил что 15 вполне достаточно, да побежал по улице кричать: "люди, люди квартира номер NN открыта и хозяина дома нет!!!" - нормально? Вряд ли. А хозяин то может в пробке застрял, а может колесо проколол, или автобус ждёт, может и просто бежит со всех ног или втапливает газульку в пол, но за 15 минут никак не реально доехать, а только за пол часа или час.
Что в данной ситуации лучше: мимо пройти или подождать 15 минут и побежать кричать "люди, люди, дверь в квартире NN дома MM открыта и хозяина нет" - по-моему очевидно.

Моё мнение: если нашел баг, сообщи в поддержку. В смысле "и точка". Совсем точка. Никаких "подождал а потом" или "сообщил и начал".
Не твой баг не твоё и дело, если ты конечно не хакер, цель которого корыстная и поиск багов ты ведёшь за $$$ или для получения $$$.
Если баг в бесплатном и тебе не нравиться, что его не исправили как тебе казалось в разумный срок, просто прекрати пользоваться этим бесплатным. Навсегда. И точка.
Если в платном, купленном тобой за свои деньги, то требуй исправления согласно договору по которому купил, если в договоре нет пункта что будут исправлять, компенсировать или возмещать, то смирись, прекрати пользоваться и плачь в углу, что зря потратил деньги.

Если ты не разработчик, то как ты можешь за разработчиков отсчитывать некие таймауты, ожидание отмерять, откуда тебе техпроцесс известен, как ты будешь выбирать "некоторое время"?
А если слил в паблик, то действовал из корыстных побуждений, хотел может не материальных, но благ: признания, славы, одобрения, почитания.

Ответить