Спасибо за пост. Хочется такой же статистики и за 2017-й год. Вообще эта идея и идея #хабрапятилетка (в соцсетях Хабра) мне нравится — часто попадается пост, о котором забыл, но который интересен.
Вот вам фидбэк: в мае 2018-го я нашёл уязвимость в Яндекс.Деньги, мой отчёт приняли, сообщили сумму вознаграждения, я указал реквизиты. До сих пор (февраль 2019) я не получил вознаграждения. Впрочем, я не получил и какого-либо ответа, почему.
Я писал как повторные e-mail в саппорт, так и тут, на Хабре — и в комментариях к постам, и некоторым сотрудникам в личку. Со мной никто не связался до сих пор!
Один из последних тикетов — Ticket#17072115500226587.
Не совсем так. Я воспроизводил свои же операции (со своими же токенами), подставляя в некоторых запросах не свои данные. И бэк сервиса отдавал мне эти данные — данные других клиентов.
Да, там HTTPS, но он расшифровывается. В приложении нет SSL-pinning, но его тоже можно было бы обойти. Что же касается токена — он меняется, но я воспроизводил со своим токеном — мне не нужен был чужой.
Звонят и задают практически те же самые вопросы, кроме последнего. Сам работал в мониторинге нескольких банков)
P. S.: обслуживание карт на аутсорсе малореально — безопасность, конфиденциальность, финансовые операции, все дела.
К сожалению, да. Это нам на IT-ресурсе такой вопрос покажется смешным и мошенническим, но многие могут не заметить подвоха. Знаю не понаслышке о таких скриптах разговоров, эта фраза запомнилась мне больше всего.
Спасибо, было интересно. Ну, у меня общение не с СБ было, поэтому… Впрочем, я написал сотруднику повторно, плюс у меня была не такая критическая ситуация. Что приятно, мне сказали, что посмотрят, могут ли отблагодарить дополнительно, так как вознаграждение было от лица того партнёра, в чьём сервисе фактически я и нашёл проблему, и они (оператор) были не в курсе его суммы.
Не хотите написать пост?)
P.S.: я нашёл у них возможность получать информацию о подарочных сертификатах в отдельном приложении, так поблагодарили сертификатом на 500 грн. Хм…
Киевстар не снизошёл сюда, но дал комментарии в статье на AIN.UA:
За время действия программы Bug Bounty мы получили ряд идей и предложений от независимых экспертов, что помогло нам улучшить работу сервисов и мобильных приложений. Компания реализовала все цели, которые планировала достичь в этом проекте. В данное время потребности в продолжении проекта нет, однако мы всегда можем вернуться к этому вопросу, если такая необходимость появится.
В ходе проекта мы получили ряд идей и предложений от независимых экспертов, что позволило улучшить работу отдельных сервисов и мобильных приложений. Авторы предложений, которые соответствовали правилам программы, получили вознаграждения
И вот ещё:
Наличие же заявленной хакером уязвимости в Киевстаре отрицают. Говорят, служба кибербезопасности оператора дополнительно проверила работу всех систем компании и «подтвердила, что данные клиентов в полной безопасности».
Добрый день. Также немного оффтопа, но я уже не знаю, куда писать.
В мае этого года я попал в Зал славы Яндекса: нашёл уязвимость в Яндекс.Деньги, мой отчёт приняли, сообщили сумму вознаграждения, я указал реквизиты. Но до сих пор (декабрь) я не получил вознаграждения.
Я писал как e-mail в саппорт, так и тут, на Хабре некоторым сотрудникам. Со мной никто не связывался, хотя обещали.
Ticket#17072115500226587.
Можно всё-таки прояснить ситуацию и выплатить средства?
Основная цель создания BankID в Украине – обеспечение надежной и удобной идентификации пользователя для предоставления административных и банковских услуг через интернет на специальных порталах.
BankID решает проблему идентификации пользователя через интернет: чтобы предоставить, например, справку о начислениях заработной платы, сервису сначала нужно убедиться в том, что информацию запрашивает именно данный человек. Если гражданин выбирает идентификацию через BankID, он вводит логин и пароль своего интернет-банкинга, проходит второй этап авторизации (например, ввод одноразового пароля из SMS) и таким образом подтверждает свою личность.
Я писал как повторные e-mail в саппорт, так и тут, на Хабре — и в комментариях к постам, и некоторым сотрудникам в личку. Со мной никто не связался до сих пор!
Один из последних тикетов — Ticket#17072115500226587.
Можно всё-таки прояснить ситуацию?
Должна быть проверка на наличие прав у того, кто запрашивает, к тому, что он запрашивает.
Да, там HTTPS, но он расшифровывается. В приложении нет SSL-pinning, но его тоже можно было бы обойти. Что же касается токена — он меняется, но я воспроизводил со своим токеном — мне не нужен был чужой.
P. S.: обслуживание карт на аутсорсе малореально — безопасность, конфиденциальность, финансовые операции, все дела.
А, может быть, стоит и для ППА чуть-чуть увеличить срок — до пяти дней или недели, например?
P.S.: я нашёл у них возможность получать информацию о подарочных сертификатах в отдельном приложении, так поблагодарили сертификатом на 500 грн. Хм…
И ЛИГА.net:
И вот ещё:
Ссылка раз "Благодаря Venmo мы теперь знаем цену своим друзьям",
ссылка два "Принадлежащий PayPal сервис venmo раскрывает данные своих клиентов".
В мае этого года я попал в Зал славы Яндекса: нашёл уязвимость в Яндекс.Деньги, мой отчёт приняли, сообщили сумму вознаграждения, я указал реквизиты. Но до сих пор (декабрь) я не получил вознаграждения.
Я писал как e-mail в саппорт, так и тут, на Хабре некоторым сотрудникам. Со мной никто не связывался, хотя обещали.
Ticket#17072115500226587.
Можно всё-таки прояснить ситуацию и выплатить средства?