Comments 55
Жаль что при репорте таких дыр приходится сталкиваться с синдромом кондуктора, тормозными ответами и копеечной за такую дыру оплатой.
А в вайбере возможность присоединиться к любому чату даже не уязвимость а нормальное поведение…
Кажется, что автор статьи на самом деле пытается всех дезинформировать. Из отчёта видно, что нельзя присоединиться к чатам в которых требуется подтверждение администратора чата, а это значит, что не к абсолютно любому. Автор обычный паникёр, а не профессионал, не удивительно, что при его стиле общения изначально проблему не поняли.
Официальный комментарий ниже:
По классификации OWASP она относится к Top 10-2017 A5-Broken Access Control и является очень критичной.Настолько ли автор паникер, если сотрудники компании сами подтверждают критичность найденной уязвимости?
В данном случае автор соврал прямо в заголовке статьи — именно это и напрягло. Подтверждают — хорошо, но дезинформация — плохо. Т. е. получается, что можно войти в любой чат где не включено ограничение на вход — ну прям ваще уязвимость века. Не смешите моих курей. Самому не раз приходилось встречаться с хамоватыми паникёрами которые считают, что им все должны, очень неприятно с такими общаться, приходится клещами доставать конструктив по кусочкам.
Гхм… вы тикет-то читали? Там представители ICQ объясняют, почему это именно серьезная уязвимость. Или ваших курей и представители ICQ тоже смешат?
Вам повезло, если вы не сталкивались с последствиями подобных уязвимостей — а ведь кто угодно мог просто взять и пропарсить все содержимое и всю историю всех приватных чатов, в которых пользователи не включили вход по аппруву.
Как вам такой мессенджер, где вся переписка, история и все файлы ваших приватных чатов доступны любым пользователям?
Вам повезло, если вы не сталкивались с последствиями подобных уязвимостей — а ведь кто угодно мог просто взять и пропарсить все содержимое и всю историю всех приватных чатов, в которых пользователи не включили вход по аппруву.
Как вам такой мессенджер, где вся переписка, история и все файлы ваших приватных чатов доступны любым пользователям?
Не знаю, кто и как прочитал тот тикет, но semifunctional прав:
В заголовке автор пишет:
В тикете этот же автор пишет:
Тем не менее, это не отменяет серьёзность уязвимости (особенно, что можно было прочитать старую переписку и удалить пользователей).
В заголовке автор пишет:
Уязвимость в ICQ позволяла присоединиться абсолютно к любому чату
В тикете этот же автор пишет:
Возможности присоединится к чату с подтверждением нету
Тем не менее, это не отменяет серьёзность уязвимости (особенно, что можно было прочитать старую переписку и удалить пользователей).
Простите, но я не отрицал отсутствие правдивости в заголовке. Я сделал упор именно на то, что историю переписки всех приватных чатов, «в которых пользователи не включили вход по аппруву» (перечитайте мое сообщение), можно было получить — и это дофига какая дикая дырка. А товарищ semifunctional прав чуть меньше, чем абсолютно нет. Особенно вот в этой фразе:
Т. е. получается, что можно войти в любой чат где не включено ограничение на вход — ну прям ваще уязвимость века. Не смешите моих курей.Это именно уязвимость века — открытие приватной переписки приватных чатов, в которых не включен вход по аппруву. Что-то на уровне «вам же нечего скрывать — так и не пугайтесь тому, что вашу переписку кто угодно может прочитать».
это не уязвимость, это фича для ФСБ
6 апреля. INTERFAX.RU — Советник президента РФ по развитию интернета Герман Клименко рекомендовал в случае блокировки Telegram переходить на мессенджер ICQ (проект Mail.ru Group).
«Мне нравится ICQ. Это полноценный месенджер, совершенно ничем не уступающий Telegram с точки зрения обычного пользователя»,
«Мне нравится ICQ. Это полноценный месенджер, совершенно ничем не уступающий Telegram с точки зрения обычного пользователя»,
походу за этот коммент разработчики минусуют мне карму) ребят, нужно хоть немного самоиронии)
UFO just landed and posted this here
как это никто не пользуется? у меня RnQ постоянно в трее. еще пяток друзей там зеленеет.
Это просто классика — приходится доказывать и убеждать, а затем наконец-то кто-то соблаговолит рассмотреть репорт. Ну почему истории о сообщении об уязвимости похожи одна на другую?
которая позволяла подключиться абсолютно к любому чату по его chat.agentСудя по переписке, все-таки не к любому, а к чату без опции «Вступление по запросу»:
iframe changed the status to New. Apr 28th (2 months ago)
Возможности присоединится к чату с подтверждением нету
Да, это утверждение неверно и вводит читателя в заблуждение, но возможно ненамернно, т.к изначально репортер был уверен что подключиться можно к любому чату.
По этому репорту было изменено поведние аттрибута чата «публичный», был добавлен запрет при снятом аттрибуте самостоятельно подключаться к чату, хотя изначально возможность подключение к чату регулировалось только аттрибутом «вступление по запросу», аттрибут «публичный» только определял видимость чата в витрине (каталоге сайтов). Исходное поведние было логичным с точки зрения разработчиков, но не логичным с точки зрения пользователя и это действительно приводило к реальным проблемам с безопасностью.
К сожалению, в начальном репорте совершенно отсутствовали сведения о тестируемой конфигурации чата и полный сценарий воспроизведения, что и привело к непониманию.
По этому репорту было изменено поведние аттрибута чата «публичный», был добавлен запрет при снятом аттрибуте самостоятельно подключаться к чату, хотя изначально возможность подключение к чату регулировалось только аттрибутом «вступление по запросу», аттрибут «публичный» только определял видимость чата в витрине (каталоге сайтов). Исходное поведние было логичным с точки зрения разработчиков, но не логичным с точки зрения пользователя и это действительно приводило к реальным проблемам с безопасностью.
К сожалению, в начальном репорте совершенно отсутствовали сведения о тестируемой конфигурации чата и полный сценарий воспроизведения, что и привело к непониманию.
На мой взгляд, всё же «вы не адекватный?» было лишним и грубым. Но сама уязвимость мощная! Интересно, использовалась ли она кем-то когда-то?
Здравствуйте!
Ещё раз спасибо классную находку, а также за то, что опубликовали краткий пересказ нашего общения в репорте. Для того, чтобы у читателей сложилась полная картина, ещё раз продублирую ссылку на полный дисклоз. В вашем посте поднято, как минимум, два важных вопроса.
Первый, конечно же, о самой уязвимости. Мы, признаюсь, по-началу были скептично настроены, из-за того, что вдруг заполучили такую "классическую дыру". По классификации OWASP она относится к Top 10-2017 A5-Broken Access Control и является очень критичной. Всем рекомендуется ознакомится с её описанием и тем, как в следующий раз так "больно не выстрелить себе в ногу". Благодаря вашему упорству нам удалось докопаться до сути проблемы, а, исправив, мы конечно добавили юнит-тестов безопасности.
Второй поднятый вами вопрос касается общения между вендором и исследователем. В своё время инициатива багбаунти программ кардинально изменила ситуацию этого общения к лучшему и дала возможность "белым шляпам" легально искать уязвимости в сервисах, делая их таким образом безопаснее, а взамен ещё и получать вполне весомую благодарность от вендора. Тем не менее, нам ещё есть над чем работать! Быть более открытыми и вежливыми друг-другу и стараться говорить на одном языке (см. Google Bughunter University).
В ICQ вопросам безопасности уделяется много внимания. Более того, ICQ — один из немногих месседжеров в мире, у кого есть полноценная багбаунти-програма. А за время её существования мы заслужили высокие оценки и рейтинг на площадке HackerOne.
Спасибо, что делаете наши сервисы безопаснее! Ждём новых репортов!
Мдемс, за критическую дырку $1000, синдром вахтера на пути приема — а после комментарий на Хабре в стиле «Мы хорошие, давайте будем вежливыми друг к другу». Это выглядит, мягко сказать, стыдно.
Если это не троллинг, то, пожалуйста, перечитайте сам репорт и мой комментарий выше. Что касается размера награды, то она всё-таки вполне хорошая. И даже у самого исследователя каких-либо замечаний по её поводу не было, что видно, опять же, из репорта.
Это не троллинг. Баба Валя получает 5000 рублей пенсии — и тоже не жалуется; но это не означает, что она получает достаточно.
По классификации OWASP она относится к Top 10-2017 A5-Broken Access Control и является очень критичной
$1000Перечитал сам репорт — это же ужас кромешный! Да вы обязаны пятки вылизывать вайтхеттерам, которые репорты кидают вам, а не сливают на черном рынке. А заходишь — и там полное неуважение к репортеру. Что за «тыканье» прямо с порога? Что за отношение к благородному баг-баунтеру, как будто вы ему крохи с барского стола ссыпаете? Баг-баунтер очень вежливо сообщил вам о баге, а вы ему в ответ:
aimsid в данном случае является токеном. Если ты считаешь, что уязвимость присутствует — уточни сценарий его получения.
Уточни пожалуйста, что ты считаешь закрытым чатом
у тебя получается вступить в чат с включенной опцией?Ей-Богу, после вот такого общения с баг-баунтерами и крошечной оплаты критической уязвимости людям даже смысла не будет идти к вам. На черном рынке общаются и то вежливее.
Причем, ладно бы, извинились на невежество ответственных за баг-баунти — так ведь даже этого не сделали! «Нам есть куда расти» и «Признаем, сначала были скептичны» — это совсем не «Просим прощения за предоставленные неудобства».
А вот извиниться очень стоило бы именно в этой ситуации. Получается, человек прошел дополнительную милю (а он далеко не должен был это делать), сделал ваш продукт лучше вопреки всем преградам — а вы ему «держи $1000, выплата будет в течение недели». Ни разу не сказали ни «спасибо», ни «извините» — зато потыкали и признали баг только после того, как репортер сказал, что будет тогда сам эксплуатировать вещь, которую вы отказались называть дырой в безопасности.
А вот извиниться очень стоило бы именно в этой ситуации. Получается, человек прошел дополнительную милю (а он далеко не должен был это делать), сделал ваш продукт лучше вопреки всем преградам — а вы ему «держи $1000, выплата будет в течение недели». Ни разу не сказали ни «спасибо», ни «извините» — зато потыкали и признали баг только после того, как репортер сказал, что будет тогда сам эксплуатировать вещь, которую вы отказались называть дырой в безопасности.
Присоединяюсь к шоку по поводу размера вознаграждения за дыру, которая «относится к Top 10-2017 A5-Broken Access Control и является очень критичной». Это вообще не серьёзно, она стоит в сотню раз дороже.
Отлично! Раз уж Вы тут ответили, то пользуясь случаем, хочу спросить — есть ли какая-нибудь возможность сменить пароль от своей аськи, в которой я зарегистрирован ооочень давно, не оставляя вам своего номера телефона? В своё время мне техподдержка ответила отказом, может что-то уже изменилось с тех пор?
UFO just landed and posted this here
Редко пишу коментарии, но сейчас даже кармы не жалко.
Они обосрались прям.
Отличное начало диалога.
Статья 163 УК РФ.
Еще и ЧСВ на хабре почешу.
кг/ам
И решил немного припугнуть ребят из команды ICQ.
Они обосрались прям.
Вы не адекватный?
Отличное начало диалога.
Буду юзать для не хороших всего доброго.
Статья 163 УК РФ.
Я подтвердил исправление, и на следующий день получил награду за уязвимость в размере $1000.
Еще и ЧСВ на хабре почешу.
кг/ам
Будет юзать не в не хороших целях всего доброго.
Вот тебе и white hat :D
Пока в российском IT сообществе будет присутствовать припугивание статьями УК РФ, вместо нормального отношения к репортам, никто не будет нормально сабмитить баг-репорты.
Bug Bounty программа снимает с ресерчара практически все легальные риски связанные с поиском уязвимостей.
Но рисков связанных с экусплуатацией уязвимости в злонамеренных целей она, разумеется, не снимает.
Но рисков связанных с экусплуатацией уязвимости в злонамеренных целей она, разумеется, не снимает.
Я и не говорю про реальные риски. Я говорю про отношение IT сообщества с припугиванием статьями.
А что насчет отношения в IT сообществе к припугиванию взломом? Комментарий LukaSafonov как раз и демонстрирует, что любые припугивания с любой стороны это не самое адекватное поведение.
ИМХО, никто не припугивал взломом. Поддержка ICQ четко дала понять: это не уязвимость. А следовательно, это не «припугивание взломом», а «использование предоставленного функционала API». Автор все сделал правильно. Ведь если бы он не указал, что будет использовать эту функцию API, то эта дырка все так же и была бы незакрытой.
Было бы аморально припугивать использованием функции API, если бы поддержка разобралась в проблеме и шла на контакт. Черт, да было бы это аморально, если бы поддержка ICQ хотя бы немного уважения проявила к репортеру. А в данном случае они (поддержка ICQ) повели себя очень непрофессионально.
Было бы аморально припугивать использованием функции API, если бы поддержка разобралась в проблеме и шла на контакт. Черт, да было бы это аморально, если бы поддержка ICQ хотя бы немного уважения проявила к репортеру. А в данном случае они (поддержка ICQ) повели себя очень непрофессионально.
На самом деле все проще. Аналитик просто не смог воспроизвести уязвимость, т.к. в репорте не была описана конфигурация, а понятие «приватный чат», используемое в репорте (в ICQ нет такого понятия) было интерпретировано репортером и аналитиком по-разному. Возможности подключаться к любому чату в ICQ таки не было.
Анлитику было бы гораздо проще избежать ошибки классификации, если бы багрепорт был составлен грамотно — с исходной конфигурацией, сценарием воспроизведения и ожидаемым поведением.
Анлитику было бы гораздо проще избежать ошибки классификации, если бы багрепорт был составлен грамотно — с исходной конфигурацией, сценарием воспроизведения и ожидаемым поведением.
Правильно ли я понимаю: вы считаете, что в этой ситуации репортер уязвимости неправ из-за того, что недостаточно точно описал уязвимость? Тогда почему, не предоставив никаких дополнительных технических деталей, но сказав, что он будет пользоваться этой не уязвимостью, внезапно оказалось, что деталей достаточно? Может быть, деталей изначально было достаточно?
ИМХО, вы буквально пытаетесь переложить вину на репортера в лице читающих комментарии — я не понимаю, зачем это делать?
ИМХО, вы буквально пытаетесь переложить вину на репортера в лице читающих комментарии — я не понимаю, зачем это делать?
Вы с теорией игр знакомы?
Есть два игрока. У каждого из них свои цели (например у одного — получить деньги, у второго — получить баг репорт об уязвимости). В первом сценарии они оба не достигают цели. Во втором оба достигают. Второй сценарий заведомо лучше для обоих. Я пытаюсь донести оптимальную стратегию. Вы пытаетесь выяснить кто виноват.
В данном случае вполне можно было получить требуемый результат не отклоняясь от правил.
Есть два игрока. У каждого из них свои цели (например у одного — получить деньги, у второго — получить баг репорт об уязвимости). В первом сценарии они оба не достигают цели. Во втором оба достигают. Второй сценарий заведомо лучше для обоих. Я пытаюсь донести оптимальную стратегию. Вы пытаетесь выяснить кто виноват.
В данном случае вполне можно было получить требуемый результат не отклоняясь от правил.
Нет, я пытаюсь показать, что поведение ответственных за баг-баунти ICQ неподобающее. Зайдите, почитайте обсуждение тикета и поставьте себя на место баунти-хантера. Если вы не заметите ничего из ряда вон выходящего, то мне вам нечего сказать :)
И не нужно пытаться куда-то увести диалог — теория игр тут ни в какие ворота не лезет. Моя позиция проста: сотрудники ICQ нахально и непрофессионально отнеслись к человеку, который принес им репорт о критической уязвимости.
Приватная переписка была доступна публично — а с автором так обращаются.
И не нужно пытаться куда-то увести диалог — теория игр тут ни в какие ворота не лезет. Моя позиция проста: сотрудники ICQ нахально и непрофессионально отнеслись к человеку, который принес им репорт о критической уязвимости.
Приватная переписка была доступна публично — а с автором так обращаются.
Всего штуку за дыру такого масштаба?! Вы явно себя недооценили, когда ответили, что это было щедрое баунти, а они просто жлобы. В телеграме помнится даже за более сложные в реализации баги давали 100-150 тысяч.
Вы не адекватный?… Буду юзать для не хороших всего доброго..
Что-то не похоже это на белый хакинг, смахивает на вымогательство и шантаж. У всех кто занимается поиском уязвимостей, есть куча найденных ошибок в сервисах, которые разработчики этих сервисов не хотят/или не могут признать. И если так каждый раз угрожать тем, что будешь использовать уязвимость для не хороших это плохо кончится.
Привет, эксплуатировать уязвимость не в коем случае, я не собирался.
У меня до такой степени накипело, что я уже пошёл на такие действия.
У меня до такой степени накипело, что я уже пошёл на такие действия.
Простите, но команда ICQ не признала это уязвимостью — а значит, и никакого шантажа быть не могло. Или это был шантаж на уровне «я буду пользоваться этой фичей»?
Да и везде, где разработчики не признают дырку дыркой никакого шантажа быть не может по определению. Эксплуатировать «неуязвимость» — это просто пользоваться функционалом.
Да и везде, где разработчики не признают дырку дыркой никакого шантажа быть не может по определению. Эксплуатировать «неуязвимость» — это просто пользоваться функционалом.
Блин, ICQ ещё жив? lol
Живее некоторых будет.
Более того, у него пока есть некоторые преимущества перед многими другими мессенджерами, правда, только для старых пользователей. В частности, там пока можно жить, не сдавая свой номер телефона.
Ну и необходимость общаться с другими контактами, которые не хотят менять свой ICQ на что-то еще, никто не отменял.
Добрый день, я толком не знаю хорошая эта выплата за такую дырку или нет, но раз на то дело пошло, я попрошу увеличить мне баунти, а там уже зависит от них дать мне или нет.
незнал что ICQ платят за найденные уязвимости. Да и вроде ICQ умер, еще давно это как у меня гуф умер
Нормальный дыра! В телеге вроде был такой же, или нет?
Sign up to leave a comment.
Уязвимость в ICQ позволяла присоединиться абсолютно к любому чату