А вот и площадка @bugbountyru(кстати, напрямую аффилированная с самим ЮМани, как выяснил хабровчанин @gmist— спасибо ему) молча удалили мою учётную запись c отчётом об уязвимости, будто их никогда не существовало. Сохраненные в Password Manager'е пароль и email при попытке входа теперь возвращают ошибку, а попытка восстановить пароль говорит, что такого пользователя больше не существует. Очень ответственный, профессиональный подход 👍(нет)
Безусловно. Предлагаю сюда приплести еще мои остальные четыре сфабрикованных уголовных дела и наличие родственных связей в Украине. И вот я уже не участник баг-баунти, а карикатурный злодей, подло сообщивший об уязвимости. А ЮМани — героически отказала в выплате врагу народа. Как говорится, не наебали, а стратегически ввели в заблуждение. Во 👍
Я думаю вполне можно. Как-то ведь существуют такие компании, как NSO Group, например. Но вообще не одобряю я такие вещи, оно может и легально, но точно не особо этично. Уявзимости нужно репортить вендору, даже если к ним есть какая-то неприязнь — это банальная профессиональная этика.
Теоретически можно, безусловно, но смысл? На что жалоба? На дыру? Так её уже закрыли, поздно пить боржоми. На нечестное отношение к участником багбаунти? Так это не часть финансовых услуг, попадающих под регуляции.
Это все очень интересно, конечно, а по делу есть что добавить? Ничего из перечисленного вами никак не опровергает мною сказанного в статье и никак не отменяет некорректного поведения компании. Или сказки про "дубль" не увенчались успехом и пришлось прибегнуть к методам распространения чернухи?)
Во времена Яндекс.Денег, когда еще Мария Грачева была CEO, баги исправлялись не то что за считанные дни, а даже за часы. Как нужно было испоганить уже выстроенные процессы, чтобы произошло то, что происходит сейчас, я не представляю вообще :D
Ого, medium? Правда? А вас не смущает, что из-за вашей уязвимости кто угодно мог встроить ваш сайт в <iframe> и добавить в код вашей страницы внутри фрейма произвольный JS, который спокойно мог вывести средства пользователя со счета, например, на мобильный телефон или еще куда-то?
Я уже молчу про возможность кражи токенов, которая здесь ну просто очевидна.
Вот ваш ответ с площадки. Поведайте публике, будьте добры, в каком месте здесь видны какие-либо доказательства кроме "trust me bro" от вашей ручной площадки?
А вот и площадка @bugbountyru(кстати, напрямую аффилированная с самим ЮМани, как выяснил хабровчанин @gmist— спасибо ему) молча удалили мою учётную запись c отчётом об уязвимости, будто их никогда не существовало. Сохраненные в Password Manager'е пароль и email при попытке входа теперь возвращают ошибку, а попытка восстановить пароль говорит, что такого пользователя больше не существует. Очень ответственный, профессиональный подход 👍(нет)
Преступление? Says who? Есть решение суда какое-то? Или закон?
Безусловно. Предлагаю сюда приплести еще мои остальные четыре сфабрикованных уголовных дела и наличие родственных связей в Украине. И вот я уже не участник баг-баунти, а карикатурный злодей, подло сообщивший об уязвимости. А ЮМани — героически отказала в выплате врагу народа. Как говорится, не наебали, а стратегически ввели в заблуждение. Во 👍
Я думаю вполне можно. Как-то ведь существуют такие компании, как NSO Group, например. Но вообще не одобряю я такие вещи, оно может и легально, но точно не особо этично. Уявзимости нужно репортить вендору, даже если к ним есть какая-то неприязнь — это банальная профессиональная этика.
Убедительно, конечно. Тогда точно никакой связи нет. 👍
И где он? Его кто-то предъявил? Доказал его существование? Пока мы увидели "ссылку на внутреннюю документацию" без какой-либо конкретики, а не репорт.
Теоретически можно, безусловно, но смысл? На что жалоба? На дыру? Так её уже закрыли, поздно пить боржоми. На нечестное отношение к участником багбаунти? Так это не часть финансовых услуг, попадающих под регуляции.
Это все очень интересно, конечно, а по делу есть что добавить? Ничего из перечисленного вами никак не опровергает мною сказанного в статье и никак не отменяет некорректного поведения компании. Или сказки про "дубль" не увенчались успехом и пришлось прибегнуть к методам распространения чернухи?)
Во времена Яндекс.Денег, когда еще Мария Грачева была CEO, баги исправлялись не то что за считанные дни, а даже за часы. Как нужно было испоганить уже выстроенные процессы, чтобы произошло то, что происходит сейчас, я не представляю вообще :D
По умолчанию, они включены во всех браузерах на базе Chromium. Пока что.
Я дополнил статью, можете убедиться в отстутствии каких-либо доказательств со стороны ЮМани, кроме как "поверь мне на слово".
Вот ваша страница для связи: https://yoomoney.ru/contacts
Где хоть один релевантный контакт или ссылка?
На вашем сайте конкретно, покажите, где хоть один абзац о репортинге уязвимостей?
Хорошо, что еще одну уязвимость не стал репортить. Должны же хоть какие-то козыри в рукаве оставаться.
Два месяца с момента обнаружения, а не с момента репорта. В предисловии описано.
Ого, medium? Правда? А вас не смущает, что из-за вашей уязвимости кто угодно мог встроить ваш сайт в
<iframe>и добавить в код вашей страницы внутри фрейма произвольный JS, который спокойно мог вывести средства пользователя со счета, например, на мобильный телефон или еще куда-то?Я уже молчу про возможность кражи токенов, которая здесь ну просто очевидна.
Вот ваш ответ с площадки. Поведайте публике, будьте добры, в каком месте здесь видны какие-либо доказательства кроме "trust me bro" от вашей ручной площадки?
Это не ответ, а отписка. Но для полноты картины я дополнил статью вашим "ответом". Это просто насмешка какая-то.