Да, слышал о таких широких возможностях Radarixа.
Тут не только телефонный справочник, а и дата рождения с пропиской (см. Вся Украина — жители). Кому-то и этого достаточно.
Верно, мне ответили, что аватары внешних сервисов берутся либо через открытый API этих сервисов, либо из публичных источников, например Gravatar. Т.е. получить эти аватары может не только Mail.Ru, но любой желающий. Пользователь может быть зарегистрирован в каком-либо сервисе (например LinkedIn), который позволяет поиск пользователя по адресу электронной почты. Аватар публично доступен и берется от этого сервиса.
Но откуда (с помощью какого сервиса) была получена почта в указанном мной примере, и как именно она обрабатывается (берётся/хранится) сервисом Mail.Ru?
А мне в почте Mail.ru интересен другой сервис: http://filin.mail.ru/.
Этот сервис позволяет узнать аватар (зачастую это фото) любого пользователя, даже не владельца почты на Mail.Ru.
Так, при подстановке в ссылку вида http://filin.mail.ru/pic?width=90&height=90&email=email%40gmail.com нужного e-mail'а можно получить фотографию его владельца.
Страница работает не на https:// и нет ограничений по подбору (не нужна авторизация и нет лимита по количеству запросов к данному ресурсу).
Конечно, можно сказать, что это фича, а не баг (в принципе, похожим образом мне и ответили в репорте на HackerOne). Но я всё же думаю, что пользователи других почтовых сервисов не были бы рады узнать, что их аватары хранятся/кэшируются в Mail.ru, которым они не пользовались и к которому они не имеют никакого отношения.
Это ещё что. Capital One, видимо, не в курсе такой ситуации, так как теперь их клиенты могут проверять свой баланс и оплачивать счета, разговаривая с виртуальным помощником. Источник.
После прочтения статьи на ум сразу приходит этот пост: «ВКонтакте» не только не платит пользователям за найденные уязвимости, но и не рассматривает их, где пользователи писали в комментариях, что да, ВКонтакте (Mail.Ru Group) не реагируют.
Как раз после моего замечания о том, что даже если баги кажутся некритическими, срок реагирования на сообщения о них следует уменьшить. Или хотя бы отвечать в стиле «Сейчас заняты более критическими ошибками, просим прощения за ожидание» в отчётах на HackerOne стали отвечать. Правда, отчёты так и висят открытыми)
Верно, проверено много лет назад опытным путём. Собственно, я сам банковский работник, просто именно ситуация «подключили 3DS-проверку — отключилась CVC2-проверка» меня заинтересовала.
Честно говоря, я ещё не встречал условий, где расписывались бы такие детали) Плюс после внедрения банком 3D-Secure никаких документов дополнительно подписывать не требовалось — они просто прислали СМС, что услуга теперь доступна всем клиентам.
Есть следующая ситуация. Банк внедрил 3D-Secure.
До внедрения (при оплате картой этого банка без 3D-Secure) код CVV2/CVC2 проверялся, и, в случае неверного введения, операция отклонялась.
Сейчас, при оплате этой же картой, но уже подключенной к 3D-Secure, при введении неправильного CVC2 операция проходит.
Кто может подсказать, прав ли банк в таком случае — что, подключив один механизм, отключил другой?
Аналогичная ситуация, только сроки другие:
Первый мой баг был закрыт на HackerOne, особе не церемонясь (17-го октября создан, 29-го закрыт, однако, на мой взгляд, закрыт некорректно), поэтому:
1 ноября — создаю копию
17-го ноября переспрашиваю
16 декабря снова переспрашиваю.
Этот баг до сих пор открыт.
Второй мой репорт закрыт аналогично, его уже не стал переоткрывать.
Но даже если баги кажутся некритическими, срок реагирования на сообщения о них следует уменьшить. Или хотя бы отвечать в стиле «Сейчас заняты более критическими ошибками, просим прощения за ожидание». Тогда я думал, что специалисты ВК были заняты CSRF-уязвимостью другого пользователя, однако сейчас, глядя на эту ситуацию и комментарии к обеим статьям, думаю про работу ВК с сообщениями про уязвимости, что Первый раз — случайность, второй — совпадение, третий — закономерность.
на главном экране одно из уведомлений гласило, что на таком-то канале Youtube появилось новое видео, а второе – что кому-то понравилось «моё» фото в Instagram.
Ок, нахожу девушку в Instagram, которой понравилась фотография владельца телефона.
Телефон — не девушки, а другого человека. Видимо, Вы не совсем внимательно читали)
А выключать телефон не хотелось, потому как владелец должен был звонить. По этой же причине не хотелось выносить его в другую комнату. Плюс, там был не один будильник, как оказалось, а штук 10 :)
UPDATE, появилась некоторая дополнительная информация на Forbes.com:
— POS-терминалы были преимущественно из США и Чехии (Чешской Республики);
— криминальная активность началась летом 2014 и закончилась в первом квартале 2015;
— Преступники сумели адаптировать свои схемы, делая вместо пополнения карты в банкоматах перевод средств с карты, оформленной в одном банке, на карту, оформленную в другом. Детали транзакции были использованы для «возврата», а последняя карта использовалась для снятия средства из банкомата, тем самым позволяя преступникам продолжать их мошенничество;
— было открыто несколько судебных дел в отношении виновных; «денежные мулы» были из Лондона, Украины, Латвии и Литвы;
— «После первого исправления мошенники немного изменили схемы и снова совершили мошенничество. Затем ошибка была окончательно исправлена, но никто не уверен, что схема не может быть изменена снова», — говорит Дмитрий Волков, Group-IB. «Эта схема может повлиять на не-российские банки, но мы знаем только о российских жертвах.»
Тут не только телефонный справочник, а и дата рождения с пропиской (см. Вся Украина — жители). Кому-то и этого достаточно.
Но откуда (с помощью какого сервиса) была получена почта в указанном мной примере, и как именно она обрабатывается (берётся/хранится) сервисом Mail.Ru?
Этот сервис позволяет узнать аватар (зачастую это фото) любого пользователя, даже не владельца почты на Mail.Ru.
Так, при подстановке в ссылку вида http://filin.mail.ru/pic?width=90&height=90&email=email%40gmail.com нужного e-mail'а можно получить фотографию его владельца.
Страница работает не на https:// и нет ограничений по подбору (не нужна авторизация и нет лимита по количеству запросов к данному ресурсу).
Конечно, можно сказать, что это фича, а не баг (в принципе, похожим образом мне и ответили в репорте на HackerOne). Но я всё же думаю, что пользователи других почтовых сервисов не были бы рады узнать, что их аватары хранятся/кэшируются в Mail.ru, которым они не пользовались и к которому они не имеют никакого отношения.
Как раз после моего замечания о том, что даже если баги кажутся некритическими, срок реагирования на сообщения о них следует уменьшить. Или хотя бы отвечать в стиле «Сейчас заняты более критическими ошибками, просим прощения за ожидание» в отчётах на HackerOne стали отвечать. Правда, отчёты так и висят открытыми)
До внедрения (при оплате картой этого банка без 3D-Secure) код CVV2/CVC2 проверялся, и, в случае неверного введения, операция отклонялась.
Сейчас, при оплате этой же картой, но уже подключенной к 3D-Secure, при введении неправильного CVC2 операция проходит.
Кто может подсказать, прав ли банк в таком случае — что, подключив один механизм, отключил другой?
Первый мой баг был закрыт на HackerOne, особе не церемонясь (17-го октября создан, 29-го закрыт, однако, на мой взгляд, закрыт некорректно), поэтому:
1 ноября — создаю копию
17-го ноября переспрашиваю
16 декабря снова переспрашиваю.
Этот баг до сих пор открыт.
Второй мой репорт закрыт аналогично, его уже не стал переоткрывать.
Но даже если баги кажутся некритическими, срок реагирования на сообщения о них следует уменьшить. Или хотя бы отвечать в стиле «Сейчас заняты более критическими ошибками, просим прощения за ожидание». Тогда я думал, что специалисты ВК были заняты CSRF-уязвимостью другого пользователя, однако сейчас, глядя на эту ситуацию и комментарии к обеим статьям, думаю про работу ВК с сообщениями про уязвимости, что Первый раз — случайность, второй — совпадение, третий — закономерность.
А выключать телефон не хотелось, потому как владелец должен был звонить. По этой же причине не хотелось выносить его в другую комнату. Плюс, там был не один будильник, как оказалось, а штук 10 :)
— POS-терминалы были преимущественно из США и Чехии (Чешской Республики);
— криминальная активность началась летом 2014 и закончилась в первом квартале 2015;
— Преступники сумели адаптировать свои схемы, делая вместо пополнения карты в банкоматах перевод средств с карты, оформленной в одном банке, на карту, оформленную в другом. Детали транзакции были использованы для «возврата», а последняя карта использовалась для снятия средства из банкомата, тем самым позволяя преступникам продолжать их мошенничество;
— было открыто несколько судебных дел в отношении виновных; «денежные мулы» были из Лондона, Украины, Латвии и Литвы;
— «После первого исправления мошенники немного изменили схемы и снова совершили мошенничество. Затем ошибка была окончательно исправлена, но никто не уверен, что схема не может быть изменена снова», — говорит Дмитрий Волков, Group-IB. «Эта схема может повлиять на не-российские банки, но мы знаем только о российских жертвах.»