Защита от фродеров, которые на Авито покупали маки и другую дорогостоющую технику на исходе гарантийного срока (обязательно с чеком), потом искуственно выводили ее из строя и шли за возвратом полной стоимости (как за новый товар).
Когда я давным-давно разбирал ежедневные логи атак на корпоративном вафе, то большинство атак приходилось на Китай. Не думаю, что сейчас ситуация кардинально изменилась, но так как Китай типа наш союзник, то в списки атакующих он не попал. Зато внезапно попал Тайвань.
О каких авторах собственно идёт речь? О правообладателях, кто создаёт контент, или о предпреимчивых согражданах, кто этот контент внаглую ворует и выкладывает на площадку при полном попустительстве администрации рутуба? Вопрос риторический.
Если багхантер нашел уязвимость у какого-то заказчика, не эксплуатировал ее, то с чего вдруг возникнут претензии со стороны правоохранительных органов? Как они вообще об этом узнают? Заказчик сам заявление напишет? Для чего? Чтобы похоронить свою репутацию и весь рынок багбаунти в России? Звучит не очень разумно. Хотя если взять, как вы выразились, правохоронительные органы, то все может быть, но это уже будет натуральный беспредел, и так можно посадить кого угодно и за что угодно.
Второе. Хоть договора между багхантером и закзачиком нет, но зато есть договор между заказчиком и площадкой багбаунти. Вот там как раз и прописывается и про привлечение исследователей, и про область действия программы и про вознаграждение. Кроме того, заказчик сам, своими руками описывает в программе что, где и как надо ломать. Никаких неустановленных лиц здесь нет. В случае чего, заказчик и площадка сами пойдут как организаторы/подстрекатели (статья 33 УК РФ). И это еще одна причина, почему никто этим заниматься не будет.
Я согласен, что пробелы в правовом поле существуют, и уже вроде как несколько лет пытаются как-то легализовать "белых хакеров". Посмотрим, что из этого выйдет. Но даже в текущий условиях никто не будет сажать легальных багхантеров, действующих в соответствии с правилами программы.
Здесь двоякие чувства возникают. С одной стороны вас понять можно. Но с другой стороны, я сам и миллионы других являются пользователями сервисов Минцифры, например Госуслуг. И я сдавал там достаточно чувствительные вещи, начиная от раскрытия паспортных данных и заканчивая угонами аккаунтов. Можно расценивать это как помощь Минцифре, а можно как предотвращение очередного слива персональных данных и мошенничества.
Вы можете яснее изъясняться? Если нет договора, то за участие в багбаунти надо сажать людей в тюрьму или что? Что сказать то хотели? Продолжайте мысль.
Директор Чжао Тунъян явно никакими единоборствами никогда не занимался. Кто же фронт кик в такой стойке принимает? Нужно было как минимум одну ногу вперед выставить, ну и подсесть на ногах слегка. Тогда бы максимум назад отшагнул и все. А так конечно на 2 метра отлетел))
Пардон, но мне кажется, что мы с вами на разных языках говорим. У вас коммерческий опыт в багхантинге имеется? Сданные отчёты с уязвимостями? Просто хочется понимать, имеете ли вы представление о том как выглядит типичная программа поиска уязвимостей, что такое скоуп, какие бывают ограничения и т.д.
Абстрагируясь от нынешней ситуации, представьте себе такое - программа бб по поиску уязвимостей в форме авторизации на сайте, а вы заходите в систему под дефолтными кредами admin/admin. Угроза - да, безусловно. Должны ли вам выплатить вознаграждение за нахождение бага в форме?
За ту цену по которой PT продает свои продукты, классический пентест людьми можно как минимум 2 раза в год проводить)
Защита от фродеров, которые на Авито покупали маки и другую дорогостоющую технику на исходе гарантийного срока (обязательно с чеком), потом искуственно выводили ее из строя и шли за возвратом полной стоимости (как за новый товар).
Специально зашел в коменты ради этой цитаты) Хабр не подвел)
Когда я давным-давно разбирал ежедневные логи атак на корпоративном вафе, то большинство атак приходилось на Китай. Не думаю, что сейчас ситуация кардинально изменилась, но так как Китай типа наш союзник, то в списки атакующих он не попал. Зато внезапно попал Тайвань.
О каких авторах собственно идёт речь? О правообладателях, кто создаёт контент, или о предпреимчивых согражданах, кто этот контент внаглую ворует и выкладывает на площадку при полном попустительстве администрации рутуба?
Вопрос риторический.
Про ковровые бомбардировки верно подмечено. Меня вчера даже на Хабр без квн не пускало несколько часов.
Всем любителям бесплатных “vpn” и прокси расширений посвящается
Я думаю, что данные могут литься как изнутри, так и снаружи. Но означает ли это то, что внешний периметр защищать не требуется?
Если багхантер нашел уязвимость у какого-то заказчика, не эксплуатировал ее, то с чего вдруг возникнут претензии со стороны правоохранительных органов? Как они вообще об этом узнают? Заказчик сам заявление напишет? Для чего? Чтобы похоронить свою репутацию и весь рынок багбаунти в России? Звучит не очень разумно.
Хотя если взять, как вы выразились, правохоронительные органы, то все может быть, но это уже будет натуральный беспредел, и так можно посадить кого угодно и за что угодно.
Второе. Хоть договора между багхантером и закзачиком нет, но зато есть договор между заказчиком и площадкой багбаунти. Вот там как раз и прописывается и про привлечение исследователей, и про область действия программы и про вознаграждение. Кроме того, заказчик сам, своими руками описывает в программе что, где и как надо ломать. Никаких неустановленных лиц здесь нет. В случае чего, заказчик и площадка сами пойдут как организаторы/подстрекатели (статья 33 УК РФ). И это еще одна причина, почему никто этим заниматься не будет.
Я согласен, что пробелы в правовом поле существуют, и уже вроде как несколько лет пытаются как-то легализовать "белых хакеров". Посмотрим, что из этого выйдет. Но даже в текущий условиях никто не будет сажать легальных багхантеров, действующих в соответствии с правилами программы.
Здесь двоякие чувства возникают. С одной стороны вас понять можно. Но с другой стороны, я сам и миллионы других являются пользователями сервисов Минцифры, например Госуслуг. И я сдавал там достаточно чувствительные вещи, начиная от раскрытия паспортных данных и заканчивая угонами аккаунтов. Можно расценивать это как помощь Минцифре, а можно как предотвращение очередного слива персональных данных и мошенничества.
Вы можете яснее изъясняться? Если нет договора, то за участие в багбаунти надо сажать людей в тюрьму или что? Что сказать то хотели? Продолжайте мысль.
Что именно вас смущает?
При чем здесь недопустимое событие?
Директор Чжао Тунъян явно никакими единоборствами никогда не занимался. Кто же фронт кик в такой стойке принимает? Нужно было как минимум одну ногу вперед выставить, ну и подсесть на ногах слегка. Тогда бы максимум назад отшагнул и все. А так конечно на 2 метра отлетел))
А если оно ещё и картины пишет, точнее изображения генерирует..
Пардон, но мне кажется, что мы с вами на разных языках говорим.
У вас коммерческий опыт в багхантинге имеется? Сданные отчёты с уязвимостями? Просто хочется понимать, имеете ли вы представление о том как выглядит типичная программа поиска уязвимостей, что такое скоуп, какие бывают ограничения и т.д.
А за такое платят. Использование дефолтных кредов это широко известная и распространенная уязвимость.
Умные люди даже соответствующие идентификаторы присвоили:
https://cwe.mitre.org/data/definitions/1392.html
https://cwe.mitre.org/data/definitions/1393.html
Примеры отчетов:
https://hackerone.com/reports/954818
https://hackerone.com/reports/2160178
Абстрагируясь от нынешней ситуации, представьте себе такое - программа бб по поиску уязвимостей в форме авторизации на сайте, а вы заходите в систему под дефолтными кредами admin/admin. Угроза - да, безусловно. Должны ли вам выплатить вознаграждение за нахождение бага в форме?
Ну а как без этого? Все для нашей, так сказать, "безопасности" - для защиты от проводных дронов.
Этот хост еще как минимум полгода был в сети (а может и больше), с этим же закрытым портом 2067. И этот ip, согласно правилам программы, был в скоупе.