Sizi doğru anlamam gerekiyor ki, diğer kişiler gibi doğru bilgi aktarmaya gayret edelim.
Bahsettiğiniz şirket bir finans şirketi, rol-verme yetkisine sahip olduğunuzu belirtiyorsunuz. Hisse senetleri, döviz gibi verileri almak güvenliği açığı değil, bunu listenizden çıkarın.
Eğer yönetici paneline bir şekilde erişim sağlıyor ve arka plandaki işlemlere, buna CRM, FBS ve benzeri alt yapı uygulamalarına erişiminiz varsa, bu şirketin verisini alabilmenizi sağlar ancak ödül alabilmeniz için şirketin sitesini inceleyin, eğer 'hack' programları varsa buradan iletişim kurabilirsiniz ancak şirket içinde daha önceden bir veri hırsızlığı ya da muhasebe sorunu olduysa, bu yükümlülüğü sizin üzerinize atarlar.
Yapmanızı tavsiye edebileceğim adımlar; şirketin Twitter sayfasından, resmi bir mesajla, detaya girmeden bu durumu belirtmeniz. Bu sizin yasal sorumluluğunuz kapsamına girer ve 'beyaz hacker' imajı verir.
Şirket sizinle iletişim kurmak ister, ilk etapta IT departmanından bir sıradan personel size ulaşır ve sorunu öğrenmeye, biraz da göz korkutmaya çalışır. Sizden aldığı bilgi ile de konuyu kapatır. Sizin görüşeceğiniz kişi; idari işler müdürü ya da vekilidir.
Amaç, mümkün olan en yüksek rütbeye sahip kişi ile görüşmektir.
Görüşmede durumu direkt anlatmayın, sadece yapabileceğiniz en iyi işlemi, sisteme zarar vermeden olacak şekilde 'onlara' göstermenizdir. Örneğin yönetici panelinde yeni bir müşteri kaydı açmak ya da son şirket içi finans verilerini gösterebilmek gibi, artık ne gibi verilere erişim sağlıyorsanız.
Bundan sonra ödülü konuşabilirsiniz, ancak bu görüşmeyi telefon ile yapmanızı tavsiye etmem, bir e-posta ile bu görüşmeyi sürdün.
Ekleme // Siz sunucu seviyesinde erişime sahip değilsiniz, sadece web tabanlı yönetim sistemine giriş yapabiliyorsunuz, değil mi?
