Bugbounty@hackerone

#1
Hallo zusammen,

ich führe seit vielen Jahren Penetrationtests bei verschiedenen Kunden in Form von Consulting durch und würde gerne an legalen Bugbountyprogrammen bei hackerone teilnehmen.

Ich kenne das Konzept der VDPs, aber dennoch:

Wenn ich nun einen Kunden ohne Proxy angreife, weiß dieser anhand meiner IP-Adresse nicht, dass ich den Angriff im Zuge des Bugbountyprogrammes von hackerone durchführe, da es für öffentliche Bugbountyprogramme keine Vorabstimmung zwischen Kunden und Pentestern gibt.

Ich könnte aus Kundensicht irgendeine beliebige Person sein, die einen Kundendienst böswillig angreift und der Kunde könnte zurecht klagen. Das würde ich gerne vermeiden. :)

Jemand Erfahrung? Wie geht man damit am besten um?


Greetz
Hackse
 
Oben