Comments 17
Привет, меня зовут Дэниел, мне пятнадцать лет
После прочтения статьи подумал что мне показалось)
Я так понимаю он не вымогал деньги а просто запостил по различным крупным компаиям, о способе внедрения в их внутрение системы через Здеск... Спорный вопрос... не похоже что он что-то нарушил. И врядли бы ему выплатили 50К... )))
Реакция представителя Zendesk в конце выглядит как-то странно, в духе решения «мы включили вентилятор, чтобы сдуть ядовитый газ с острова».
Меня смущает тот факт, что автору первоисточника по его словам 15 лет. Но судя https://hackerone.com/daniel?type=user
он присоединился к нему в 2021 году, т е когда ему было 12 лет.
Т е он был уже крутым хакером в 12 лет???
Чтоб зарегаться на сайте, не обязательно нужно быть крутым хакером
А что в этом такого? Я начал программировать в 9, сеть техникума взломал в 16. Но это в ещё отсутствие Интернета, потому как в 80-х особого доступа не было.
Если парень начал с самого детства, имеет мозги и талант - то почему бы и не быть хакером в 12-15?
Откуда в 15 лет есть опыт как сетапи ся zendesk в разных компаниях? Также баг открытый несколько лет назад. Наверное в детском саду)
Стиль статьи конечно интересный. "Изумило" то что просят сделать баг репорт конфиденциальным... А что они должны были сделать - опубликовать его на главной странице что ли?
Уязвимость интересная, спасибо за перевод
Думаю, изумило, что резко вспомнили, когда петух клюнул. Еще и с наездом. Собственно, с чего они вообще решили, что парень с кем-то уязвимостью делился? Просто рассказал и показал, что у них есть дыра их клиентам, для этого вовсе не обязательно рассказывать, в чем именно дыра.
Ну не поняли как можно воспользоваться уязвимостью, бывает. Парень вместо того чтобы это расписать просто ей воспользовался.
Очевидно что после этого кейс переоценили. Это не удивительно/изумительно, это единственно верный шаг.
Клиентам он писал похоже с указанием ссылки на номер кейса, поэтому клиенты тыкали в конкретную уязвимость. Иначе этот закрытый кейс бы и не вспомнили, а оценивали бы как новую проблему
Парень сказал, что на момент создания отчета он еще не нашел этот способ. Потом отчет закрыли и кто знает, может он read-only стал? А то знаете ли, любят в разных проектах "спам" к закрытым задачам ограничивать. А новый отчет слать -- в чем смысл, если за него не заплатят? Он и отправил тем, кто заплатит.
Чем он там воспользовался? Как сознательный гражданин, указал тем, на кого дыра влияет, что у них проблемы. Может написал, что пытался связаться с первопричиной, но там его слушать не стали.
Очевидно что после этого кейс переоценили. Это не удивительно/изумительно, это единственно верный шаг.
То есть согласились, что уязвимость есть, но заплатить человеку все же пожмотились?
Мда... генерация ID это зло. Но так и не увидел, где там случился полный захват Slack?
Офигеть, вот это шарит котелок в 15 лет. Я тоже пару месяцев назад нашел баг в одном казино) мой баг Баунти составил 50 $ 😃
Похоже на правду. Ковырял как-то одну help-desk систему работающую через почту, там вся структура почтовой переписки построена на конструировании и комбинациях переменных, variable. [%ticket.number%], [%mail.subject%], [%mail.message%], [%mail.message.reversed%], [%sender.name.surname%] и т.д.
Типичные в подобных системах базовые настройки: обрабатывать только внутренние адреса company.com либо внутренние и внешние. Думал тоже тогда, можно спокойно прикинуться лаптем и легко элементарно захулиганить, что автор и сделал. Т.к. большинство подобных support@ открыты без всякого дополнительного валидирования. Кто-то написал, системой создается тикет (а зачастую срабатывает и триггер autoreply "вашему обращению присвоен номер #08024") и считается автоматически доверенным, передается человекам.
Как я получил 50000 + 0 долларов за уязвимость в Zendesk