Комментарии 25
Привет мосгортрансу и ржд, которые банят карты "Тройка" из-за своих же багов или нежелания проверить перед баном историю поездок, из которых бы даже недоджун с онлайн курсов по анализу данных увидел, что нужно не забанить карту, а вернуть излишне снятые средства. Простите, накипело.
У каждой проблемы есть простое неправильное решение. Посадить хакера проще, чем дыры латать
По интернету гуляет такая хакерская юморная байка "Хакер приходит в общественную столовую". Пусть столовая не банк, но создать проблемы или шантажировать можно много какие заведения.
Так что мое мнение - дело организации решать, вознаграждать добровольца или нет, ведь его никто не нанимал. Ну а его воплощенные действия уже действительно могут быть по закону расценены как ущерб.
В те времена вообще даже понятия не существовало этичного хакинга. Тут обоюдоострый вопрос - если в системе есть уязвимость, и вы о ней узнали, что вы сделаете? Скажем, безлимитная выдача денег, если на цифербладе банкомата набрать секретную комбинацию.
Пройдете мимо, попытаетесь помочь, или используете чтобы нажиться на этом? Могу поспорить, большая часть просто проходит мимо. Некоторая часть желает это эксплуатировать. И лишь малая часть пойдет убиваться в компанию, достукиваться, и предупреждать всех о надвигающемся пмздеце, если это не пофиксить.
Грубо говоря, использование уязвимости, то есть забрать деньги - это воровство. А продажа уязвимости - продажа своего труда.
Наверное, самое идеалистическо-альтруистически, это послать уязвимость владельцу, а в общественный доступ выложить с задержкой. Но не все волки сыты, да и овцы не всегда целы (пока уязвимость не используется, не все торопятся чинить).
послать уязвимость владельцу
Прям самому главному посылать? А если он не поймет нихера, или секретарь не пропустит. Самому обычному специалисту в отделении? Тоже самое. Скорее всего они бы подумали что вы шарлатан.
Значит он плохо организовал свой бизнес, ну бывает.
Значит он плохо организовал свой бизнес, ну бывает.
Ещё раз. Речь про 1970 год. Появляется человек, который взломал банк. Наказать или помиловать?
Вот выше первый пост - пишут что его надо наказать. А я говорю, что наказывать не за что, тк тогда некуда было обратиться даже с такими репортами.
Вы же пишете что "сам дурак раз не сделал такого места куда можно пожаловаться. Хаха надо было сразу такое предусмотреть".
Ну как бы вы тут скапитанили: да ему, некуда было пожаловаться, но этого не было ещё потому что инцидентов таких ещё не было. Все кто взламывали - были только плохими людьми, не было разделения на плохой/хороший. Поэтому с ними и не церемонились, сразу сажали. И тут первый такой кейс, когда нужно изменить закостенелую систему.
Ещё раз. Речь про 1970 год.
Именно это произошло в 1997 году, когда уже немолодой инженер-программист Серж Хумпич поставил на уши крупнейшие кредитные организации Франции, придумав оригинальный способ оплачивать покупки картами, даже не имея банковского счета.
Все-таки был уже 1997 год.
У любой компании есть официальные контакты, всякие там референты. И если ты банк, то и отдел безопасности. В который референт и должен отправить такое письмо, чтобы они оценили серьезность.
Помню, в 97 году в попытке продать банку патч, делали контрольный экспертмент. И да, когда зафиксирована недостача, этот документ читается куда как быстрее, чем если просто технически изложить проблему.
Да это всё понятно. Вы пишете что небо голубое, а трава зеленая, что о уязвимостях надо сообщать кому надо, что герой статьи и сделал:
с помощью которых составил обращение в консорциум банков, управлявших платежной системой Carte Bleue
Никто не отреагировал, дальше что?
когда зафиксирована недостача, этот документ читается куда как быстрее
Вот и вы пример такой приводите. Никто не отреагировал пока не укусит. Нужно добиваться чтоб услышали, или не лезть ждать пока самих укусит?
В первом варианте ты рискуешь личным юридическим преследованием (т.к. нет законов), а во втором - что ситуация никогда не будет меняться, об уязвимостях не принято будет сообщать, они никуда не будут деваться, и уязвимостями будут пользоваться только black hat.
Хорошо бы раскрыть в статье роль его юристов, странно что они не отговорили его от затеи с публичным показом и потом не оказали должной помощи.
А надо было просто стрясти с системы бабла и жить в свое удовольствие. Тоже мне, моральна дилемма.
Он надеялся на честность и щедрость банкиров? Мне кажется, в этом была его основная ошибка. Компенсация в 1 франк за моральные страдания банкирам как бы намекает, что у этих людей нет никаких моральных качеств.
сбором поташа
кто то навскидку без гугла знает что это такое и зачем ?
Ну то есть еще один пример что правильный подход тут - если на первый запрос не реагируют (пофиг по чему), надо сливать в паблик, если цель все же закрыть - то лучше анонимно (ну или сначала и если воспроизведение возможно простыми средствами - анонимным письмом в прессу, бумажным конечно же).
А мог бы ободрать банки и жить нормально )
Серж Хумпич: человек, взломавший национальную банковскую систему Франции