Привет! Сорри, ошибка была смешная — я не проверял на наличие пустых строк как элементов массива и упорно пытался их распарсить. Вроде Fixed.
На тех списках, которые вы мне кинули в почту, работает.
Спасибо за фидбек!
Ну в этом плане модерации контента дополнительной на vulners.com нету.
Это же по сути агрегатор — мы краулим источники информации, структурируем данные и выкладываем у себя.
Их 300.000+ штук, отсмотреть руками невозможно.
Если приходит на content@vulners.com просьба убрать/поправить контент — это всегда без проблем.
Ой вей. Вы правы, сударь. Некорректно передал мысль.
Смысл-то был в том, что деньги в этом случае тратятся на расследование и поимку с целью нейтрализации риска последующего рецидива.
Чаще всего о возмещении убытков можно забыть, но если действовать оперативно, то есть шансы и что-то вернуть.
Дырявое? Not really.
*Нам уже известно* --> В этот момент обычно добавляют в вотчеры к первичному репорту.
Кидай тикеты в личку, посмотрю что там такое.
Или телеграм — @isox_xx
Да, тут на днях когда парсил ресурс XSSed удивился количеству репортов на нем: 31160 штук мы вытащили. Если верить count-у по запросу type:xssed title:Unfixed, то нефикшеных где-то 30125. Ну или не оповестивших о фиксе.
Мне кажется, для владельцев небольших ресурсов просто пока не так очевидна проблема информационной безопасности. Они редко сталкиваются с целевыми атаками, а эффективность "коврового бомбометания" ботов для взлома сводится на нет малейшим кастомом в путях до ресурсов.
Там есть еще нюанс с compliance. Есть моменты, когда регулятор напрямую пишет «так нельзя» и все, особо в стороны не уйдешь.
А EULA, увы, никто не читает :(
Сами по себе root-привеллегии предоставляют доступ к данным, изначально
не доступным пользователю и сторонним приложениям. Вредоносное
приложение на root-телефоне может добраться например до переписки
в gmail или whatsapp, и переслать их
атакующему, просто потому-что они лежат там в чистом виде и не считаются
sensitive-данными.
Особеность бесконтактных платежей — простота обращения с «платежным
модулем»(карта, телефон), нужно просто прислонить его к терминалу. В
приложении поведение отличается: нужно разблокировать телефон прежде чем
провести платеж, это сделано для того, чтобы избежать неправомерного
снятия средств. Минимальный вектор атаки в таком случае — на рутованном
телефоне зловред программным методом разблокирует экран и сведет защиту
бесконтактных платежей к нулю. Злоумышленник прислонит терминал к
телефону и проведет платеж. Для тех у кого нет под рукой платежного
терминала, были исследования перехвату NFC сигнала используя т.н. NFC-proxy.
Т.е. опасности в контексте HCE — это неправомерная активация модуля NFC,
который эмулирует уникальные данные карты.
Говоря про пользователей, их можно разделить на пару типов, одни из
которых понимают возможности, которые открывает root, для других это
средство избавится от предустановленных приложений, или потому, что это
круто, так как у соседа телефон тоже зарутован.
Закрывая возможность работы под root, мы защищаем обычных пользователей, не
подозревающих о возможностях атак на их карточные данные.
P.S. личное, не официальное:
Более
прошаренный пользователь может отключить запрет по инструкциям, которые
появились в сети уже через пару недель после официального релиза
приложения. Защититься от этого практически невозможно.
Можно взять и карту с PayWave, но если кошелек с наличными и банковскими картами вы можете забыть дома, то без телефона мы на улицу уже редко выходим))
Никакого ограничения на количество городов нет (а как выразилась ошибка?). Телефоном можно оплатить во всех магазинах и кафе, где есть терминал со знаком бесконтактной оплаты. Им точно можно оплатить в любом KFC и макдаке – попробуйте :)
Я правильно понял, что в результате все HTTP страницы будут пролетать через Тапок?
Что будет со статистикой и аналитикой на HTTP ресурсах, которые вместо клиентов с разнообразных IP получат теперь много подключений из пула Яндекса? Не сломается ли у них профилирование по GeoIP-и-так-далее?
Хранит ли Тапок логи клиентов? Если раньше пользователь рисковал потерять данные на куче чужих промежуточных (может быть даже и зловредных) проксях/маршрутизаторах, то теперь он от этого защищен. Его данные увидите только вы. Будут ли добавлены в пользовательское соглашение соответствующие строки?
Привет из QIWI!
Спасибо за такое освещение информации о данной проблеме, у нас получилось с ней быстро разобраться.
Fixed! Пожалуйста, подтвердите, что проблема более не воспроизводится.
И да, не могу не напомнить, что мы рады всем багам о которых вы нам сообщаете.
Вместе мы делаем QIWI лучше и безопаснее.
Ждем Ваших репортов на нашу официальную программу поиска уязвимостей: hackerone.com/qiwi
Там же нам можно в комментах задавать любые вопросы и нажать кнопочку “потребовать разглашение данной уязвимости” :)
Пошел копать содержимое.
«OSVersion»: «7»
Второй стадией уже сделаем такую же штуку для Win.
На тех списках, которые вы мне кинули в почту, работает.
Спасибо за фидбек!
Это же по сути агрегатор — мы краулим источники информации, структурируем данные и выкладываем у себя.
Их 300.000+ штук, отсмотреть руками невозможно.
Если приходит на content@vulners.com просьба убрать/поправить контент — это всегда без проблем.
Смысл-то был в том, что деньги в этом случае тратятся на расследование и поимку с целью нейтрализации риска последующего рецидива.
Чаще всего о возмещении убытков можно забыть, но если действовать оперативно, то есть шансы и что-то вернуть.
*Нам уже известно* --> В этот момент обычно добавляют в вотчеры к первичному репорту.
Кидай тикеты в личку, посмотрю что там такое.
Или телеграм — @isox_xx
Мне кажется, для владельцев небольших ресурсов просто пока не так очевидна проблема информационной безопасности. Они редко сталкиваются с целевыми атаками, а эффективность "коврового бомбометания" ботов для взлома сводится на нет малейшим кастомом в путях до ресурсов.
А EULA, увы, никто не читает :(
не доступным пользователю и сторонним приложениям. Вредоносное
приложение на root-телефоне может добраться например до переписки
в gmail или whatsapp, и переслать их
атакующему, просто потому-что они лежат там в чистом виде и не считаются
sensitive-данными.
Особеность бесконтактных платежей — простота обращения с «платежным
модулем»(карта, телефон), нужно просто прислонить его к терминалу. В
приложении поведение отличается: нужно разблокировать телефон прежде чем
провести платеж, это сделано для того, чтобы избежать неправомерного
снятия средств. Минимальный вектор атаки в таком случае — на рутованном
телефоне зловред программным методом разблокирует экран и сведет защиту
бесконтактных платежей к нулю. Злоумышленник прислонит терминал к
телефону и проведет платеж. Для тех у кого нет под рукой платежного
терминала, были исследования перехвату NFC сигнала используя т.н. NFC-proxy.
Т.е. опасности в контексте HCE — это неправомерная активация модуля NFC,
который эмулирует уникальные данные карты.
Говоря про пользователей, их можно разделить на пару типов, одни из
которых понимают возможности, которые открывает root, для других это
средство избавится от предустановленных приложений, или потому, что это
круто, так как у соседа телефон тоже зарутован.
Закрывая возможность работы под root, мы защищаем обычных пользователей, не
подозревающих о возможностях атак на их карточные данные.
P.S. личное, не официальное:
Более
прошаренный пользователь может отключить запрет по инструкциям, которые
появились в сети уже через пару недель после официального релиза
приложения. Защититься от этого практически невозможно.
Ой. А где можно почитать на счет логов в Турбо? Хранятся или нет, и использует ли их как-то Яндекс?
Я правильно понял, что в результате все HTTP страницы будут пролетать через Тапок?
Что будет со статистикой и аналитикой на HTTP ресурсах, которые вместо клиентов с разнообразных IP получат теперь много подключений из пула Яндекса? Не сломается ли у них профилирование по GeoIP-и-так-далее?
Хранит ли Тапок логи клиентов? Если раньше пользователь рисковал потерять данные на куче чужих промежуточных (может быть даже и зловредных) проксях/маршрутизаторах, то теперь он от этого защищен. Его данные увидите только вы. Будут ли добавлены в пользовательское соглашение соответствующие строки?
Спасибо за такое освещение информации о данной проблеме, у нас получилось с ней быстро разобраться.
Fixed! Пожалуйста, подтвердите, что проблема более не воспроизводится.
И да, не могу не напомнить, что мы рады всем багам о которых вы нам сообщаете.
Вместе мы делаем QIWI лучше и безопаснее.
Ждем Ваших репортов на нашу официальную программу поиска уязвимостей: hackerone.com/qiwi
Там же нам можно в комментах задавать любые вопросы и нажать кнопочку “потребовать разглашение данной уязвимости” :)