Pull to refresh

Comments 13

Не так страшны эти частичные данные, как банальная беспечность пользователей и развод «на лоха».
Согласен. Насчет развода, таков наш мир. Люди всегда ведутся.
и самый неприятный момент — компании, которые не верили в опасность проблемы, я пытался доказать им обратное, что дело обстоит серьезно, предлагал показать уязвимость на их тестовом аккаунте, говорили, что исправят, но до сих пор и не исправили

А их Visa/MasterCard не могут за это "нагнуть", т.е. что будет если пожаловаться на них в эти организации?

Интересует похожий вопрос: в комментариях к старой статье о Приватбанка читал, что кто-то заставлял свой банк исправлять уязвимости, требуя это на основании законодательства (или договора с банком, не помню деталей). Есть ли какая-то адекватная возможность заставить компанию исправить уязвимость?
Перестать пользоваться их услугами и уйти к конкуренту?
Даже на западе для большинства населения это не работает лет 20, а у нас (СНГ) никогда не работало, в общем случае, если где-то и удается уйти, то в качестве исключения.
Что за несправедливость. Всего 100 долларов. Они готовы спонсировать футболистов миллиоными контрактами, а тут в любой момент могут потерять миллионы, им помогают, а они всего стольник.
Расскажу одну байку: есть один чудесный сервис, созданный в СНГ (не буду говорить точно страну, чтобы было сложнее угадать). Не стесняется писать красивые фразы о своей надежности и безопасности. Берет с клиентов деньги за то, что даёт возможность работать с документами и другими крайне важными для предприятий вещами. При этом в нем есть пара критических дыр, которые позволяют получить доступ к аккаунту или ко всем документам. Владельцы компании не хотят выплачивать вознаграждение за уязвимости, поэтому я уже забыл про этот сервис (я никогда не требую вознаграждения. Нет — ладно, удачи, до свидания. И стираю всю информацию о багах со своего компа). В чем вопрос: многолетний труд десятков людей (а сотрудников много) зависит от 100$, которые руководство не готово выделить. Придёт человек с более низкой моралью, найдёт баг и выкачает все данные. И никто из адекватных клиентов не вернётся на сервис, с которого украли всю их важную информацию.
И никто из адекватных клиентов не вернётся на сервис, с которого украли всю их важную информацию.

Есть такая вещь как зарплатный проект, где подчас огромные и разветвлённые организации получают зарплату на сотни и тысячи сотрудников. Угадайте, интересуются бухгалтера или руководство перед тем, как заключать договор с банком, такими нюансами безопасности или отношением банка к заслугам искателей багов?
А есть ещё безнадёжный, мышекактусный монополизм, как в случае с Medoc.
Каждый раз читая подобные статьи хочется задать вопрос: Вот я решил например исследовать на предмет брешей в безопасности некий сервис. Мне для этого надо сначала как-то обеспечить свою анонимность? Т.е. не получится так, что при написании последнего абзаца репорта владельцу сервиса ко мне в дверь постучится товарищ майор с вопросом «А кто это тут у нас кибер-преступлениями балуется?». Ведь нельзя же исключать вероятности, что у исследуемого сервиса есть команда админов и некий софт (благо его много сейчас) который отслеживает аномальную активность и в случае чего тревогу начнут бить до того, как я что-то поломал. А далее все просто: заявление в органы, майор, допрос, обезъянник…
Только не кидайте тухлыми помидорами. Мне правда интересно, как организована работа исследователей безопасности!
И еще вопрос в догонку знатокам: Есть у меня сервер под виртуальный хостинг. Последние 3 года (тьфу-тьфу) полет нормальный. Попытки поломать есть, но безуспешные. Тем не менее всегда есть неприятное ощущение, что кто-то таки поломает мою прелесть (то самое чувство когда боишься монстров под кроватью). Поэтому я думаю, что должен сам попробовать «на зуб» то, что построил. А вот с чего начать — не знаю. Т.е. у меня все апдейты вовремя накатываются, ненужные порты закрыты, пароли адские. Как научиться ломать, чтобы проверять то, что построил?
Попробуйте использовать лицензионный, а не ломаный Burp, возможно дело в карме :-)
Only those users with full accounts are able to leave comments. Log in, please.