发现了一个物联网设备的漏洞,应该怎么处理

顺便，有没有变现的可能？如果能赚点钱的话

工业和信息化部 国家互联网信息办公室 公安部关于印发网络产品安全漏洞管理规定的通知

工信部联网安〔 2021 〕 66 号

第九条 从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的，应当遵循必要、真实、客观以及有利于防范网络安全风险的原则，并遵守以下规定：
（一）不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息；认为有必要提前发布的，应当与相关网络产品提供者共同评估协商，并向工业和信息化部、公安部报告，由工业和信息化部、公安部组织评估后进行发布。
（二）不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。
（三）不得刻意夸大网络产品安全漏洞的危害和风险，不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。
（四）不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。
（五）在发布网络产品安全漏洞时，应当同步发布修补或者防范措施。
（六）在国家举办重大活动期间，未经公安部同意，不得擅自发布网络产品安全漏洞信息。
（七）不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
（八）法律法规的其他相关规定。

第十四条 违反本规定收集、发布网络产品安全漏洞信息的，由工业和信息化部、公安部依据各自职责依法处理；构成《中华人民共和国网络安全法》第六十二条规定情形的，依照该规定予以处罚。
第十五条 利用网络产品安全漏洞从事危害网络安全活动，或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的，由公安机关依法处理；构成《中华人民共和国网络安全法》第六十三条规定情形的，依照该规定予以处罚；构成犯罪的，依法追究刑事责任。

网络安全法

第六十二条 违反本法第二十六条规定，开展网络安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正，给予警告；拒不改正或者情节严重的，处一万元以上十万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。

第六十三条 违反本法第二十七条规定，从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。
单位有前款行为的，由公安机关没收违法所得，处十万元以上一百万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
违反本法第二十七条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。

@ReactRails 1.厂商停止支持了 2.我不打算也没能力搞 ddos 攻击之类的

@barbituric 好啊，去跟警官说，看他让不让你做好人

提交 cnvd
or
找一些小圈子把漏洞卖了，不过可能不怎么值钱

当做没看见。

做黑产自己会进去，

当英雄，想想乌云。

破解一些摄像头，门禁机这基本不值什么钱，你要是能破解别人支付系统，直接凭空生钱这种才值钱

@wusheng0 乌云也不是啥好货, 有次它破解了我前公司官网的内容管理系统的账号和密码, 打电话张口要 2000, 我们老板觉得官网没啥人看就没给, 结果过了几个月账号和密码公布在了网上

啥都别动，以后也不要再登录其他设备，没厂商了，就更不要去提交漏洞了，你证明不了你没干什么，也当不了好人。

@barbituric #1 小伙子你这个想法搞网络安全很危险，我是见过我同事在工位上被带走的，他搞渗透测试的，估计是自己搞了没有授权的渗透。
如果你是说提交到某些厂商的 src 有可能拿到一些奖金，这是可以的，但一般也只接受自家产品的漏洞吧

@jimmy2010 之前只是听说奖金是厂商给的，比如华硕就接受自家的漏洞然后提供奖金。既然生产这个的厂商都不管了，提交到其他地方估计不会管。

提交到 cnvd 吧，或者补天啥的，别想着变现，你这个想法确实不太适合安全行业！！！

@ReactRails #7 画面感来了
----
@barbituric 早期的物联网设备安全方面基本没做什么工作，都是默认开启 telnet 、ssh 的，密码还都是统一的， 估计早就被 mirai 变种控制了。自从 mirai 问世之后这种物联网设备都被人扫遍了，搜下设备型号 和 密码 出货量大容易被控制的设备估计早就泄露过密码或 exp 了

国内好人不好当啊

楼上说的对，厂商没了，你提交给谁都无法改变这个漏洞的存在

@barbituric 厂商给奖金你敢要吗？记得世纪佳缘吗
物联网有个漏洞很正常，你习惯就好了

我很想知道这个漏洞, 可以用来做代理啊, 干净的家庭 ip, 太爽了吧, 买代理太贵了

@mineralsalt 据我所知很多国外收费的匿名代理,用 usdt 支付,的那种就是这么来的...

@TerryRobles 什么事情?求科普,没听说过

@barbituric 搜索 ”世纪佳缘 乌云 袁炜“

建议你提交 CNVD 或 CNNVD ，如果你还不了解如何提交，可以看这篇文章的介绍：
https://m.freebuf.com/articles/network/317282.html

另外不建议你去卖这个漏洞，它价格很低，并不会给你带来明显的收益。大学期间多报告漏洞、多参与网络安全比赛，把它们变成简历上的本领，会对你找工作带来巨大的好处。

@TerryRobles 看明白了,我的理解是没有经过授权不要进行渗透测试

卖给第三方

感觉直接找 360 没准还有奖励

作为 0day 封存吧，不是所有人都能把资源发挥出价值

上传到什么补天还是啥子的平台不是有钱嘛

时机未到，留着以后有机会再用，急什么

交 cnvd ，卖 cnvd 证书

不过弱密码其实不算漏洞。。

直接报警

其它渠道被发现你都是直接坐牢

好多未授权接口的洞 cve 都不给，telnet 弱密码估计评不上啥，不知道那些 src 收不收