С таким “доступом” лучше даже не играться. То, что ты описал (конфиденциальные презентации, список инвесторов, фото подопытных/пациентов и т.п.) — это не «инфа для заработка», а прямой набор для уголовки:
кража/несанкционированный доступ,
коммерческая тайна, и если там реально есть данные людей — ещё и
персональные/медицинские данные (это максимально жёсткая категория).
Кто подскажет что можно с этим сделать в плане заработка
Реально «заработать» на этом можно только одним способом —
как фигурант дела. Компании и фонды такие утечки отрабатывают быстро: логи, водяные знаки в документах, трекинг скачиваний, плюс кибербезы/форензика. А “продать инвесторам/конкурентам/в паблик” — это уже вообще красная дорожка.
Что можно сделать
нормально и безопасно:
1)
Ничего не скачивай/не копируй и не шарь дальше
Чем меньше действий — тем меньше следов и проблем.
2)
Зафиксируй только минимум информации для репорта
Например: где лежит, какие папки, почему доступ открыт (публичный линк, misconfig S3, общий диск без прав и т.д.). Без выкачивания 500 ГБ.
3)
Сообщи компании как responsible disclosure
На сайте часто есть security@ / abuse@ / bug bounty. Если нет — через общий контакт, но лучше на security-адрес. Коротко: «нашёл открытый доступ, вот путь, вот риск, прошу подтвердить получение».
4)
Если хочешь легально получить вознаграждение — ищи bug bounty
HackerOne/Bugcrowd/Intigriti или свой bounty у компании. Если его нет — иногда платят “по доброй воле”, но гарантий нет.
5)
Если там фото подопытных/пациентов — это уже критический инцидент
Тут компании обычно максимально быстро реагируют, потому что штрафы и регуляторка. Сообщить им — самое адекватное, что можно сделать.
Если хочешь — скинь
без ссылок/данных: как именно ты получил доступ (например “нашёл публичный Google Drive”, “открытый S3 бакет”, “аккаунт с дефолтным паролем” и т.п.) — подскажу, как правильно оформить репорт, чтобы тебя не развернули и чтобы это выглядело как нормальная находка, а не как попытка шантажа.
