А можете детальнее описать или приложить ссылку? Я как-то нашёл у них в бонусах уязвимость и написал им e-mail. За неделю никакого ответа не получил, поэтому отправил второе письмо. Потом третье — пересылал уже на те адреса, которые смог найти, но снова не ответили. Потом написал на e-mail, который был указан в контактах на Play Market. И только на него мне ответили, что первоначальный ящик, на который я писал, не отслеживался. Но ошибку в итоге исправили, дали немного бонусов. А про какую ситуация говорите вы?
Если кому интересно, не так давно программа BugBounty Киевстара была закрыта полностью (не приватный режим, а именно закрыта), а сотрудник Soultan, который отвечал здесь на комментарии, не так давно ушёл из Киевстара.
Кстати, в комментариях под его прощальной записью об уходе из компании ему пишет «В добрый путь, Виталий!» сотрудница, которая и отправила тот злосчастный e-mail. Такие дела.
Спасибо, понравилось, начал читать с «Корпоративной шизофрении». И да, идея с уникальными названиями хороша — раньше не обращал внимания на посты с заголовками Часть 2, Часть 3, а так — заинтересовался)
Виталий Soultan, давайте попробуем ещё раз. Вы обвиняете меня в том, что я прямо просил и настаивал на выплате $5800. Это ложь. Мне такие утверждения неприятны.
Также:
— в статье про запуск BugBounty указано, что компания нашла уязвимость во время бета-тестирования обновленной системы «Мой Киевстар» — но её нашёл пользователь Хабра;
— Вы обещали написать здесь об этом здесь – не написали;
— "Серчер в диалоге с BugCrowd прямо просил $5800 вознаграждения" — ложь. Я спросил "Вы серьезно? $50 за доступ к аккаунтам, официальная общая стоимость которых составляет $5800?";
— "было предложено серчеру в дополнение к искренней благоданости" — искренней благодарности я также ни разу не увидел (но это моё субъективное мнение);
— "исследователь продолжал настаивать на выплате $5800 или намерении написать об этом пользователям habr.com" — ложь. Я не продолжал настаивать, а пытался аргументированно спорить, используя максимально понятный бизнесу язык. Мало того, я нигде не указывал эту сумму (см. выше) и не угрожал публикацией, а сообщил, что я понимаю, что также могу быть неправ в ожидании большей награды, и в вопросе суммы – необходимо ли было компании заплатить $0 или $50 или $5000 – пусть рассудят пользователи habr.com.
Возможно, коллеги донесли Вам информацию некорректно, или же в спешке Вы читали репорт поверхностно. Посмотрите, пожалуйста, отчёт на Bugcrowd самостоятельно, чтобы убедиться в обратном.
Исследователю удалось загрузить данные более 200 млн транзакций, обработанных в 2017 году. Информация содержит настоящие имена отправителя и получателя, их фотографии, точное время проведения транзакции, назначение платежа и другие конфиденциальные данные.
Инженерам не удалось ускорить установку Ocean Cleanup
и
Установка Ocean Cleanup для очистки океана от пластика оказалась недостаточно эффективной.
А жаль, хоть кто-то пытается что-то сделать с Большим мусорным пятном.
Надеюсь, всё получится, пусть и не с первой итерации.
Кстати, в комментариях под его прощальной записью об уходе из компании ему пишет «В добрый путь, Виталий!» сотрудница, которая и отправила тот злосчастный e-mail. Такие дела.
Кажется, N26.
Например, Ticket#17072115500226587
Bug Bounty Киевстара: награда за админский доступ к сервисам Jira, AWS, Apple, Google Developer, Bitbucket — 50 долларов
Также:
— в статье про запуск BugBounty указано, что компания нашла уязвимость во время бета-тестирования обновленной системы «Мой Киевстар» — но её нашёл пользователь Хабра;
— Вы обещали написать здесь об этом здесь – не написали;
— "Серчер в диалоге с BugCrowd прямо просил $5800 вознаграждения" — ложь. Я спросил "Вы серьезно? $50 за доступ к аккаунтам, официальная общая стоимость которых составляет $5800?";
— "было предложено серчеру в дополнение к искренней благоданости" — искренней благодарности я также ни разу не увидел (но это моё субъективное мнение);
— "исследователь продолжал настаивать на выплате $5800 или намерении написать об этом пользователям habr.com" — ложь. Я не продолжал настаивать, а пытался аргументированно спорить, используя максимально понятный бизнесу язык. Мало того, я нигде не указывал эту сумму (см. выше) и не угрожал публикацией, а сообщил, что я понимаю, что также могу быть неправ в ожидании большей награды, и в вопросе суммы – необходимо ли было компании заплатить $0 или $50 или $5000 – пусть рассудят пользователи habr.com.
Возможно, коллеги донесли Вам информацию некорректно, или же в спешке Вы читали репорт поверхностно. Посмотрите, пожалуйста, отчёт на Bugcrowd самостоятельно, чтобы убедиться в обратном.
Зачем обманывать читателей, что «исследователь продолжал настаивать на выплате $5800»?
ссылка