Ммм. А вот это вы нормально написали, относительно содержания письма все претензии снимаю, извините.
Теперь вопросы скорее к сотрудникам банка — почему они его до сих пор не нашли. Или нашли, но специально опубликовали другое?
UPD: и добавьте это, пожалуйста, в статью. С таймлайном. Чтобы снять недоразумения.
UPD: как видно ниже, это было не то письмо, которое не имеет отношения к автору этой статьи.
Так что теперь я скорее удивлён тем, что сотрудники банка выложили не то. Но всё равно ситуация продолжает оставаться удивительной.
Если вы посылали несколько писем, и это не то, или если письмо зацитировали не полностью — извините. Серьёзно.
Вы можете выложить правильную версию с текстом и указанием, куда оно было отправлено?
Поправка: он написал одно письмо на ящик credit@tinkoff.ru (который, опять же, скорее всего, читает только общая линия поддержки, без каких-либо деталей (это, кстати, правильно, учитывая ящик), но с очень толстым намёком на то, что он бы не прочь получить денег и «обсудить предложения о сотрудничистве» (цитата).
Пока нашедший уязвимость будет предпринимать все попытки достучаться до банка через приватные каналы, писать, звонить, купит билет в Москву, приедет в офис, поживет на крыльце недельку, добьется встречи с безопасником, сумеет его убедить, пешком уйдет к себе во Владивосток, потому что жить неделю на крыльце банка — дорого…
Вы слегка утрируете =). В данной ситуации стоило позвонить и написать ещё и в поддержку (без указания деталей).
Результат публикации тут налицо: все закрыто
Закрыто через полдня после публикации. Все, кто хотели что-то стрясти через эту дыру — стрясли. Чтобы убедиться в обратном, надо поднимать логи на стороне банка. Как вы его заставите это сделать, кстати говоря? Сказать, что это уже не ваши проблемы — не получится, так как вы уже надели на себя шляпу и действуете исходя из минимизации вреда для пользователей, а часть из этого могло случиться именно из-за такой публикации — значит это входит в интегральную оценку.
Еще раз повторю: вред, нанесенный пользователям, в конечном итоге можно вытребовать через суд у того же банка
Не весь вред, плюс маловероятно в наших условиях, плюс не все пострадавшие вообще захотят этим заниматься, но это не значит, что они пострадают меньше. Кстати, они вообще могут не знать, что пострадали — как они тогда в суд пойдут?
Короче, пока вот это все — банк будет относиться к проблеме именно так, как он относится сейчас.
Пока их не пнешь, они не полетят.
Знаете, от этого достаточно повышать прозрачность пост-фактум, публикуя таймлайн, краткую историю общения, и детали уязвимости после её исправления. Как обычно и делают в большинстве сколько-нибудь значимых случаев. И да, это почему-то совершенно отсутствует в вашей классификации.
Кстати, по-хорошему вам бы ещё поднять лог запросов и этот ендпоинт с целью проверить, эксплуатировалось ли это кем-нибудь, и предупредить затронутых пользователей, если да.
И провести аудит, в том числе процессов, которые допустили такое.
я, пожалуй, не соглашусь. Это была весьма неприятная штука, позволяющая получить приватную информацию о состоянии счетов пользователей по номеру карты.
WhiteHats нигде и никогда не заинтересованы в устранении уязвимости и минимизация вреда для б̲а̲н̲к̲а̲.
Минимизация вреда для пользователя — вот основная цель.
Безусловно, про минимизацию вреда для пользователей речь и идёт.
То есть на самом деле всё чуть-чуть сложнее, но в первом и во втором приближениях это так.
(обычный) банк телится ⇒ ждем сколько умеем (скажем, день, или три)
Игр в коммунизм не бывает: если банк такой банк, то его надо нагнуть по максимуму при первой же возможности. Иначе мы продолжим жить там, где живем.
Я понимаю вашу позицию, но мне кажется, что публикация через три дня и одно письмо — всё-таки несколько перегибание палки. Учитывая то, что пользователи могут пострадать от этой уязвимости.
То, что у вас описано как п.3. обычно вступает в силу тогда, когда уязвимая сторона либо активно не желает исправлять проблему, либо достаточно длительное время игнорирует все попытки с ней связаться. Отправка одного письма, неполучение на него ответа, и выводы из этого «ой, всё» — так себе стратегия.
Хотя как Tinkoff мог бы это улучшить и вообще избежать этой ситуации — отправлять автоматический ответ вида «ваше сообщение рассматривается нашей командой, мы с вами свяжемся».
даже если они отправлены с адреса pink_poopsey_2001@pornhub.com
Да, придирки к адресу я видел — с тем, что на это должно быть наплевать — соглашусь, конечно.
Привлечение к ответственности поисковиков за нарушения интеллектуальных прав.
We need to go deeper.
Например, следующим шагом будет сажать людей, которые советуют своим друзьям поисковики, которые «нарушают интеллектуальные права» тем, что не фильтруют ссылки на сайты, на которых есть ссылки на хэши наборов байтов, защищённых интеллектуальными правами.
Так, я не могу отредактировать, но я отзываю этот комментарий целиком. Банк, оказывается, зацитировал не то письмо, вообще не от автора.
Правильное: https://habrahabr.ru/post/307628/#comment_9749060
Ммм. А вот это вы нормально написали, относительно содержания письма все претензии снимаю, извините.
Теперь вопросы скорее к сотрудникам банка — почему они его до сих пор не нашли. Или нашли, но специально опубликовали другое?
UPD: и добавьте это, пожалуйста, в статью. С таймлайном. Чтобы снять недоразумения.
UPD: как видно ниже, это было не то письмо, которое не имеет отношения к автору этой статьи.
Так что теперь я скорее удивлён тем, что сотрудники банка выложили не то. Но всё равно ситуация продолжает оставаться удивительной.
Если вы посылали несколько писем, и это не то, или если письмо зацитировали не полностью — извините. Серьёзно.
Вы можете выложить правильную версию с текстом и указанием, куда оно было отправлено?
UPD: https://habrahabr.ru/post/307628/#comment_9749060, вижу.
Да, тут я был неправ, да и сотрудники банка, кажется поторопились. Или они это специально?
Это радует =).
Офигеть.
Извините, других слов нет.
Это (в данном случае) что угодно, но не White Hat.
Прочитайте письмо: https://habrahabr.ru/post/307628/#comment_9748658
Пнуть, но сначала не так. Плюс посмотрите на текст письма.
Поправка: он написал одно письмо на ящик credit@tinkoff.ru (который, опять же, скорее всего, читает только общая линия поддержки, без каких-либо деталей (это, кстати, правильно, учитывая ящик), но с очень толстым намёком на то, что он бы не прочь получить денег и «обсудить предложения о сотрудничистве» (цитата).
Источник: https://habrahabr.ru/post/307628/#comment_9748658.
Если там письмо автора зацитировано некорректно или неполно, то беру свои слова (из этого сообщения) назад.
Или не заводят, в зависимости от суммы ущерба.
Вы слегка утрируете =). В данной ситуации стоило позвонить и написать ещё и в поддержку (без указания деталей).
Закрыто через полдня после публикации. Все, кто хотели что-то стрясти через эту дыру — стрясли. Чтобы убедиться в обратном, надо поднимать логи на стороне банка. Как вы его заставите это сделать, кстати говоря? Сказать, что это уже не ваши проблемы — не получится, так как вы уже надели на себя шляпу и действуете исходя из минимизации вреда для пользователей, а часть из этого могло случиться именно из-за такой публикации — значит это входит в интегральную оценку.
Не весь вред, плюс маловероятно в наших условиях, плюс не все пострадавшие вообще захотят этим заниматься, но это не значит, что они пострадают меньше. Кстати, они вообще могут не знать, что пострадали — как они тогда в суд пойдут?
Знаете, от этого достаточно повышать прозрачность пост-фактум, публикуя таймлайн, краткую историю общения, и детали уязвимости после её исправления. Как обычно и делают в большинстве сколько-нибудь значимых случаев. И да, это почему-то совершенно отсутствует в вашей классификации.
Кстати, по-хорошему вам бы ещё поднять лог запросов и этот ендпоинт с целью проверить, эксплуатировалось ли это кем-нибудь, и предупредить затронутых пользователей, если да.
И провести аудит, в том числе процессов, которые допустили такое.
Знаете, а вот с
я, пожалуй, не соглашусь. Это была весьма неприятная штука, позволяющая получить приватную информацию о состоянии счетов пользователей по номеру карты.
Ещё раз — я не защищаю банк в данной ситуации, и в целом с описанными вами целями согласен.
Но, по моим оценкам, предпринятые автором действия были сильно неоптимальными именно с точки зрения минимизации вреда для пользователей.
Безусловно, про минимизацию вреда для пользователей речь и идёт.
То есть на самом деле всё чуть-чуть сложнее, но в первом и во втором приближениях это так.
Я понимаю вашу позицию, но мне кажется, что публикация через три дня и одно письмо — всё-таки несколько перегибание палки. Учитывая то, что пользователи могут пострадать от этой уязвимости.
То, что у вас описано как п.3. обычно вступает в силу тогда, когда уязвимая сторона либо активно не желает исправлять проблему, либо достаточно длительное время игнорирует все попытки с ней связаться. Отправка одного письма, неполучение на него ответа, и выводы из этого «ой, всё» — так себе стратегия.
Хотя как Tinkoff мог бы это улучшить и вообще избежать этой ситуации — отправлять автоматический ответ вида «ваше сообщение рассматривается нашей командой, мы с вами свяжемся».
Да, придирки к адресу я видел — с тем, что на это должно быть наплевать — соглашусь, конечно.
Не может, это прямо запрещено в соглашении AppStore, в любых проявлениях, кроме отображения контента в стандартном WebView.
Я не автор, но мне бы очень хотелось увидеть, что именно он вам написал. Особенно, если вы сами хотите это опубликовать.
Ждём ответа =).
Почему? Вы думаете, это в целом сделает лучше?
Второй момент — альтуризм не глуп, это ошибочное мнение.
We need to go deeper.
Например, следующим шагом будет сажать людей, которые советуют своим друзьям поисковики, которые «нарушают интеллектуальные права» тем, что не фильтруют ссылки на сайты, на которых есть ссылки на хэши наборов байтов, защищённых интеллектуальными правами.
В AppStore — нельзя. Опять же, если они не используют WebView.