Comments 34
Возможно, они уже были в курсе ваших «экспериментов»? Или репорт был анонимный?
Репорт не анонимный, но он был спустя примерно день после обнаружения. Плюс суммы были незначительные, они не могли быть в курсе.
они не могли быть в курсе.
Забавно, у вас есть какой-то инсайд из пчелайна? :)
Вообще, они вполне себе могли знать об этом баге, не вы же один такой хитрый. Просто ущерб от него мог быть оценен невысоко. По предварительным расчетам «на коленке» с 1000 рублей можно получить еще порядка 180 (на самом деле — чуть меньше) накрученных денег, если загонять все бонусные рубли, т.е. не больше 20% от исходной суммы. Если возможность реализации была признана невысокой — ущерб был признан небольшим. Каких-то подробностей от меня не ждите — у меня инсайда тем более нет.
Бедненько как-то. Я бы за подобный баг хотя бы год какого-нибудь топового безлимитного тарифа оплатил.
В сети давно гуляет эта уязвимость, еще с год назад встречал упоминания.
В свое время беглый гуглеж не дал мне ничего конкретного. Если усердно искать, не исключаю, что можно найти. В любом случае о баге если и знали, то знали единицы, и скорее всего просто поторговывали бонусами.
Тык, на первой же страницы есть результаты об этом баге, датированные еще весной 2015 года
Подобную схему можно провернуть и с какими-нибудь сервисами кешбека. Например возврат за покупки на алиекспресс. Нужно только договориться с продавцом, что он ничего не высылает, а через пару недель делает возврат денег.
Мало над билайном поглумились по поводу их Big Data конкурса… теперь еще и их супер-промо-акции раскритиковали… бедный, бедный билайн ))
Простите, я пропустил. А можно пруф?
Присоединяюсь, где глум над Big Data?)
DSL88 teamfighter
Да тут ребята на хабре развелкались как могли, кто автосолверу задачу скармливал, кто брутом брал барикады… в итоге конкурс как-то скоропостижно закончился вчера) И есть подозрение, что Билайн свою задачу по хантингу аналитика Big Data не решил этим конкурсом)
habrahabr.ru/post/269745
habrahabr.ru/post/269065
Да тут ребята на хабре развелкались как могли, кто автосолверу задачу скармливал, кто брутом брал барикады… в итоге конкурс как-то скоропостижно закончился вчера) И есть подозрение, что Билайн свою задачу по хантингу аналитика Big Data не решил этим конкурсом)
habrahabr.ru/post/269745
habrahabr.ru/post/269065
Может у них на bug bounty деньги закончились?
Интересно было бы услышать комментарии официального представителя компании, да.
Интересно было бы услышать комментарии официального представителя компании, да.
Не хватает самого интересного куска, как изменили условия бонусной программы?
прислушаются к моим тикетам о зоне покрытияКогда это случится — сообщите, а то мегафон и мтс игнорируют их абсолютно — перейду на Билайн.
UFO just landed and posted this here
Вторую половину статьи про жлобство писал жлоб. Заплатив бонусами за дырку в бонусах они просто пошутили.
Вся безопасность Билайна начинается и кончается только на бумаге. Ну и, может быть, ещё в бесполезных конкурсах для специалистов. А по факту остаётся чистейшей профанацией.
Про «банду сотрудников, дублировавших симкарты» уже писали. А я недавно с удивлением узнал, что получив смс о чьём-то входе в свой Личный кабинет, никак нельзя узнать, с какого IP-адреса, региона и устройства это произошло. Даже принудительно закрыть все сессии тоже нельзя. Максимум, что можно — сменить пароль для ЛК, как можно скорее.
Про «банду сотрудников, дублировавших симкарты» уже писали. А я недавно с удивлением узнал, что получив смс о чьём-то входе в свой Личный кабинет, никак нельзя узнать, с какого IP-адреса, региона и устройства это произошло. Даже принудительно закрыть все сессии тоже нельзя. Максимум, что можно — сменить пароль для ЛК, как можно скорее.
Как вариант, это могло быть «ханипотом» — они знали, что есть такой вариант накрутки и могли видеть, кто им пользуется. Вряд ли таких людей было много, но они могли за ними присматривать внимательнее.
Продолжая тему теории заговоров… Более вероятно что эта статья — реклама билайна, суть которой показать что билайн, обнаружив баг, может за 1 день изменить всю свою бизнес модель. Еще можно усугубить, предположив, что они сидели с готовым решением с первого дня и ждали этого момента, чтобы так красиво себя показать. Вряд ли все люди, которые хоть что-то понимают в арифметике, находятся за пределами компании.
Это не баг, а фича ;-)
Такие лазейки с возвратом постоянно находят у банков и активно ими пользуются, а когда нашедших решают проучить — они становятся поводом для эпичных срачей на банки.ру.
Такие лазейки с возвратом постоянно находят у банков и активно ими пользуются, а когда нашедших решают проучить — они становятся поводом для эпичных срачей на банки.ру.
Стандартное решение для всех подобных программ лояльности — ограничение по сумме бонусов, которые можно получить в месяц (т.е. да, схему с киви они бы не закрыли, но смысла в ней было бы уже мало). Странно, что Билайн, внедряя программу лояльности, не учел подобные схемы.
Если бы вы не написали, мы бы и дальше продолжали пользоваться..(
А теперь бонусы начисляют только за потраченные на связь средства.
Но есть ЦМ бонус, но правда, не для всех;)
С другой стороны, какая разница, если мне уже больше года половина входящих не проходит?
А теперь бонусы начисляют только за потраченные на связь средства.
Но есть ЦМ бонус, но правда, не для всех;)
С другой стороны, какая разница, если мне уже больше года половина входящих не проходит?
Мда. Ну автор и… лопух, извините за откровенность.
А профит он получил большой. Попав за счёт этой заметки на хаброресурсы. Так что обижаться грех. Не, конечно приятно сразу на два стула сесть, запостив в песочницу материальчик после получения кругленькой суммы, но жизнь такая штука, что не всегда одаривает по максимуму и радоваться надо минимуму.
А профит он получил большой. Попав за счёт этой заметки на хаброресурсы. Так что обижаться грех. Не, конечно приятно сразу на два стула сесть, запостив в песочницу материальчик после получения кругленькой суммы, но жизнь такая штука, что не всегда одаривает по максимуму и радоваться надо минимуму.
(осторожно с лимитами)Ну хоть баги по части лимитов не обнаружили, и на том спасибо :D
Sign up to leave a comment.
Сказ о том, как Билайн относится к безопасности своих сервисов