Comments 37
На данный момент, увы, bb у нас нет
Вроде написано то, что написано.
Да, все так, как я и говорил в личной переписке -- программы Bug Bounty у нас нет, а как появится -- мы не будем забывать и тех, кто уже присылал отчеты.
Увы, бюджета на ИБ сейчас нет чтобы больше платы проводить :/ Но я буду пробивать нормальную бб чтобы было лучше и приятнее.
более того, выбить что-то из бюджета, который не заложен - там вобще чудо сделали.
По-моему, от сравнительно мелких локальных компаний многого ждать и не приходится.
У них денег хватает на рекламу в аэропорту, причем не по две минуты, а часами висит. Вот например цена для Внуково: за размещение ролика 10 секунд в 5 минутном блоке на 30 дней составляет 400000 руб. . Так что тут приоритеты компании на минимизацию затрат на любую поддержку и отношению к качеству, а не про невозможность заплатить. А вот автору респект, за попытку человеческой коммуникации.
вознаграждение будет "честным"
В показанной переписке такого нет
После этого сообщения я испытал сильное разочарование,
А могли бы в полицию стукануть, или по судам затаскать, так что ещё хорошо всё закончилось %))
Если это Ваша работа - то надо предварительно заключать договор. Без договора искать уязвимости - можно и под суд попасть. Если это Ваше хобби - тут можно бы и порадоваться, вместо разочарования - не только денег не потратил, но даже и наоборот, 300 баксов есть 300 баксов :-)
Автор мог бы на черном рынке пополнять баланс пользователей. Или продать уязвимость в десятки или даже сотни раз дороже, так как в уязвимости прямая монетизация. В итоге компания понесла бы потери в сотни миллионов.
Но автор молодец, что довольствуется 25 тыс рублей :)
На самом деле таких историй много, в том числе и в отношении крупных компаний. Просто не все пишут статьи :)
Кажется, сотрудник компании выложил 25 тысяч из своего кармана, чтобы инцидент не дошел до руководства и не получить по шапке. Но где то просчитался, как и с багом. В итоге статья на хабре
Автор мог бы на черном рынке пополнять баланс пользователей.
Увидел незапертую дверь, зашёл и сказал хозяевам. А мог бы тиснуть из прихожей ценные вещи.
Понимаете, не каждый хочет себе с пола поднять уголовку.
Проснувшись следующим утром, я сразу взял телефон, ожидая там увидеть уведомление из телеграмма. Думаю, вы уже догадались — там было пусто. Только после трех сообщений, которые я отправлял в течение дня мне удосужились ответить
Да как они вообще посмели спать лечь после такого баг-репорта?
мне удалось поработать со многими гигантами IT-рынка, которые платили достойные вознаграждения
«Свежо предание, да верится с трудом». (А. С. Грибоедов, «Горе от ума»)
В итоге забрал 25?) В целом думаю, что ребята сделали, что смогли, притом открыто написали причины.
Мне кажется, что вам наоборот повезло, что вам ответили, ещё и в течении дня(да небольшими препятствиями но всё же ответили), и если посудить со слов ИБ специалиста, которому вы непосредственно сообщили об уязвимости, что у них отсутствует bb отдел, это большая удача и мастерство языка специалиста, что вам выплатили хоть что-то. Да это сравнительно маленькая сумма относительно уязвимости, но это деньги) а как грится деньги не пахнут. Спасибо большое за публикацию было интересно почитать!
Стоит упомянуть: компании, у кого нет вознаграждения за уязвимости (условно-бесплатная случайная рабочая сила) будут потом отплачивать репутационно, операционно, финансово, а потом в случае факапа (Аэрофлот) еще и деньги по сусекам искать (из других бюджетов), чтобы оплатить авральный проект по обезопащиванию.
В процессе исследования я обнаружил ещё несколько проблем безопасности, но после всей этой истории желание работать с Суточно.ру окончательно исчезло.
А можешь рассказать, какого рода там ещё "возможно" есть проблемы?)
после всей этой истории желание работать с Суточно.ру окончательно исчезло.
Ну и зря)
Судя по переписке у них проблема с вертикальной коммуникацией, но сами по себе вполне адекватные люди на местах.
Не стоит сразу бросаться в работу, но тем не менее стоило через адекватных людей попытаться заключить договор. И уже после этого начать изучать и отправлять репорты.
Но а так, если в вашей переписке было хоть слово про деньги, то могут потянуть по статье.
Я знаю несколько случаев, когда в РФ попытались развернуться люди с исследованием уязвимостей сервисов. Они находили уязвимость и в общении писали типо "Мы нашли уязвимость у вас, можем заключить договор услуг", их потом принудительно заставляли выдавать информацию об уязвимости, иначе статья.
Любопытно, а за что статья, если договор не заключали?
Обнаружить уязвимость не равно использовать уязвимость.
https://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=PRJ&n=241956
Можете прочитать пояснительную записку.
163 УК РФ
272 УК РФ
273 УК РФ
274.1 УК РФ
1270 ГК РФ
1301 ГК РФ
1064 ГК РФ
13.12 КоАП РФ
увы, у нас чаще наказывают, чем благодарят, поэтому многие идут сразу на "рынок". Чем чаще "ударят", чем больше будут думать о безопасности.
Вы правы и это вне сомнения. Но есть одно но. Я читал и странное чувство не покидало меня, приобретая неясные формы, словно смотрел сквозь туман. И одно слово, Ваше слово, осветило призраков. Ну нет в русском языке слова "игнор", есть "игнорирование" или глагол "игнорировать". И тогда я понял - вы просто нашли друг друга - молодой дэби с одной стороны с группой дэби с другой. Что мешало Вам хорошо подготовиться и потратить больше времени на представление своего труда и ума? Теперь Ваш ум оценен настолько, сколько он и стоит, а те, кто оценивали Вас стоят столько же. По развитию и имеете, каков пекарь, таков и хлеб. Оглянитесь вокруг на созданный вами мир, посмотрите в зеркало - вы там ничего кроме привычного ада и привычных рожек не увидите, а ведь создано это вами, вашей нравственной и культурной необразованностью. Поменяйте лапти на чистые ботинки и вспомните свою уверенность, чистоту и честь, чтобы вернуть здоровую брезгливость к грязным трактирам. Но, право, вы, судя по речи и делам, только этой столовой и достойны
Можно конечно долго рассуждать что мало заплатили, что в целом верно, но на что автор рассчитывал при учёте что bb у них нету? Имхо, при таких раскладах лучше даже не браться за поиск, риск вместо денег получить повестку в суд
Думаю, тут и на этом можно сказать спасибо
Автор молодец, но в следующий раз советую сделать иначе, раз cio и так далее ковыряются в носу и не только: смотри оборот компании и предупреждай, что инфа сольётся в сеть. Вы по потеряете на этом огромные деньги. За такой баг прошу N вознаграждение.
Да это плохой подход, по раз бб нет и 25к рублей есть, а там календари забиты звонками, то надо эту вертикаль компании разрушить и спустить людей на землю.
Жёстко, но справедливо.
НИКОГДА, запомните, НИКОГДА не пытайтесь получить BB с СНГ компаний. Пользуйтесь багом или продайте инфу на соответствующем форуме. Перестаньте быть альтруистами.
Неоднократно уже писал, что те кто действительно занимается своим продуктом, а не придумал очередной условный агрегатор, чтобы процент грести из воздуха (а таких большинство), заказывают пентесты за огромные бабки.
Лично я очень жду "внедрения" ГУ в волшебный мессенджер, который ловит даже на парковке. Ух там раздолье будет колосальное я уверен.
Я лично удивлен что хоть что то заплатили. Уверен это была подвальная дверца "прачечной".
И почему вам не поправили колени в нужную сторону. Я конечно догадываюсь. Но вам не скажу.
Ты ведь подумал о том как незадеанониться при получении бабок прежде чем писать такую статью? Подумал ведь, да?
(btw, рили, за дебажную ручку найденную за пол вечера, и вряд-ли ведущую к большому импакту, без бб/контракта, странно требовать что-то большее чем "спасибо"? хотел денег - продал бы ... хотя такое наверное не продать ни дорого ни массово)
Жаловаться на малую оплату в компании с отсутствующим bb? Согласен, что найденный баг мог принести серьезный ущерб, но давайте будем объективны, могли вообще ничего не заплатить, пентест они ведь не заказывали). Мне кажется к компании вообще должно быть ноль претензий. Попадались как-то на глаза переписки с требованием от неизвестных заплатить больше, чем компания оценила рекомендации в плане безопасности. Причём рекомендации банальные, этих людей никто не просил их присылать. Стоило таким один раз заплатить, они потом просто начали спамить по пустякам.
Что у автора хорошо получилось, кроме как найти баги, так это вызвать к себе неприязнь из-за своего высокомерия.
Надо было заходить с вопроса - есть ли у вас программа ББ и договор с фиксированными расценками? И на основе ответа строить дальнейший диалог или прекращать его.
Как я нашёл критическую уязвимость на Суточно.ру и получил «целых» 25 000 рублей