Z uwagi na ważny interes społeczny informuję, że podczas zwykłej eksploatacji sieci Internet zupełnie przypadkowo zaobserwowano, że co najmniej jeden serwer produkcyjny w infrastrukturze międzynarodowej firmy badawczo-technologicznej — Gemius S.A. — działa pod kontrolą oprogramowania zawierającego liczne podatności.
Chodzi o co najmniej jedną podatność typu RCE as root (zdalny, nieuwierzytelniony dostęp na prawach administratora systemu operacyjnego).
Ustalono nadto, że na przedmiotowym serwerze są przetwarzane m.in. dane osobowe.
W trosce o bezpieczeństwo sieci (aby nie pomagać przestępcom) nie ujawniono szczegółów technicznych zagrożeń, albowiem nazbyt szczegółowe informacje mogłyby posłużyć do włamania.
Z uwagi na poczynioną obserwację, niezwłocznie podjęto próbę nawiązania współpracy z Gemius S.A. w oparciu o bug bounty i model responsible disclosure — w celu potwierdzenia i ewentualnego usunięcia podatności.
Jednak w odpowiedzi spółka Gemius S.A. oświadczyła, że nie prowadzi programu bug bounty i odmówiła udzielenia informacji o szczegółach współpracy z badaczami w oparciu o model responsible disclosure.