Спасибо, полезно и познавательно, хотя традиционно юзаем просто Slack, который тоже алертит аналогично. Но при работе via RDP имхо маст хев — только нужно покумекать, как сделать это на винде.
ableev уточните, плиз, а с какой версией Zabbix-а работали? (ссылка на доку ведёт на 3.0, она ли?)
Послушайте, но на Хабре, и не только, регулярно публикуют найденные баги, и если это произошло таким образом, что конфиденциальная информация не пострадала, и неправомерного доступа к ней не образовалось, то никто не считает такую публикацию нарушением профессиональной этики.
да, публикуют и это прекрасно. Каждый из предоставленных вами примеров — результат нормального исследования. А не перебор ссылочек из html-файла, утекшего от сотрудника какой-то компании.
С параллельным участием в BB-программе этой компании, паралельным получением утёкшего html-файла и публикацией на хабре с целью поднять ЧСВ и проучить оную компанию / доказать её неправоту.
Ну почему же ничего не сделал? Он проверил 113 ссылок. И одна таки сработала.
Я имею в виду сам метод получения файла и факт того, что человек желает вознаграждение за это. Если бы он был найден примером, через индекс гугла / яндекса или получен через публичные каналы коммуникации — вообще не вопрос. Это достойная вознаграждения работа даже в out of scope
1) если это действительно так, то тем более ни о какой профессиональной этике речи идти не может.
я имею в виду то, что он принял участие в программе и согласился с её правилами. И публикацией их нарушил. Кроме того, весь сыр-бор тут из-за денег, а деятельность за деньги — это как раз та самая профессиональная деятельность.
2) я бы тоже говорил 'файл сам пришел', независимо от способа, которым он был реально добыт.
Исходя из вашего описания non-profit деятельности есть большое подозрение, что посыл конкретно вашего поста в этом случае был бы не о деньгах ) Хотя, возможно, я заблуждаюсь.
То есть если это баг, публиковать стоит позже, когда его закрыли. А если ерунда, меры уже приняты, да и воспользоваться уязвимостью не выйдет (ссылку на файл не дали) — не вижу проблемы. А вы?
Я вижу проблему сугубо в подходе к снаряду. Т.е. то, что ТС руководствовался личными мотивами, а не объективным освещением данного кейса. Публикация — маст хев, но не отсебятинка, а нормально подтверждённая фактами история с выводами и советами. Кстати, на месте ТС-а я бы опубликовал всю переписку в этом посте сразу (нарушать, так нарушать).
Сохранять репутацию, скрывая проблемы — вот это точно нарушение профессиональной этики.
да, со стороны Киевстара в этом случае. И я за то, что уже написал dimaviolinist по части извинений и констатации вопиющего факта со стороны провинившейся компании.
P.S. к кому ещё мог попасть этот файл и попал ли — думаю, что вряд ли узнаем.
спасибо за отличный пример и аргументацию. Но если человек хочет получить деньги / вознаграждение за какие-либо свои действия + собственное развитие, то он всё же осуществляет профессиональную деятельность. Багхантинг за деньги — это не совсем про увлечение.
Лично меня в этом кейсе бесит не только халатное отношение к паролехранению, но именно то, что ТС вообще ничего не потрудился сделать, чтобы получить этот файл. Да, не ок хранить так пароли и возникают вопросы к компетентности сотрудников и к компании вообще. Не ок отправлять письма, не проверив адресата. Не ок не удалять автоматом письма, которые предназначены не тебе (тут уже вопрос другой этики). Но также не ок на волне личных обид выносить сор из избы, когда ты согласился ранее это не делать.
Как можно нарушить правило платформы сообщением о баге, который не попадает под программу выплаты вознаграждений?
Участием в багбаунти программе.
но по профессиональной этике — это либо баг (и стоит соблюдать секретность), либо не баг — и в чем тогда проблема рассказать?
несмотря на количество минусований, как по мне основных проблем две. 1. Алгоритм «принял участие в программе — получил шарово файл с паролями — захотел срубить денег — в отместку публиканул на хабре». Имхо именно это и есть нарушением профессиональной этики.
2. Халатность Киевстар и отсутствие фактажа и оф.позиции по этому вопросу (ичсх, подобная халатность встречается независимо от уровня/размера/оборота компании).
Жмотства лично я исходя из алгоритма в пункте 1 увы, но не вижу. Мне лично малость грустно от того, что такое количество людей алгоритм 1 вообще не рассмотрели, он тут тупо между строк читается (и да, это моё мнение и как бы не защищаю Киевстар).
m1rko, спасибо за инициативу. В порядке здравого предложения — не запустить ли инициативу по сбору средств (продакханты, кикстартеры итп) на развитие проекта на полукоммерческой основе? Т.к. англоязычной аудитории она тоже была бы интересна. Если что — готов помочь с описанием / релизом в свободное время
Т.е. вы считаете, что багхантингом и написанием тут постов занимаются нубы? Профессиональная этика и деятельность — это два разных понятия. Да, конкретно в этом случае ТС хотел получить доход, ничего не делая, но это не меняет сути.
По поводу этики я описал выше ответом Superl3n1n, повторяться не вижу смысла. По поводу косяков — согласен, вероятно, какая-то оф.позиция должна быть вместе с перепиской и с извинениями.
Компания Киевстар здорово накосячила. Вместо извинений (а за наплевательство к безопасности персональных данных нужно извиняться и очень-очень усердно)
Поддерживаю, но судя по всему, там не было персональных данных.
Хотя реально достаточно было сказать «ой, звиняйте, ужасный косяк, наша новая секретарша Леночка принесла с улицы котёнка и тот забежал на клавиатуру мышка хвостиком махнула, нажал отправить емейл, мяукнул и напрудил на клавиатуру. Леночку пожурили, котёнка накормили и пристроили, ещё раз дико извиняемся, больше так не будем, пароли в явном виде больше не хранятся, а больше полтинника заплатить не можем, ибо случай формально не подпадает под наши условия и чуть что, акционеры спросят лично с того, кто выделит деньги. Кланяемся, мир, дружба, Киевстар. Всем хорошего дня. Ня.»
Угу, вообще удивительно, почему никто этого до сих пор не сделал. Хотя почему-то уверен, что реакция и хайп были бы аналогичны, исходя из пропорции проголосовавших.
Communication regarding submissions must remain within Crowdcontrol and/or official Bugcrowd support channels for the duration of the disclosure process.
Довольно исчерпывающий пункт, с учётом того, что программа bugcrowd.com/kyivstar не завершена.
Кроме того, исследователь получил письмо, как я понял, по ошибке. И либо ради пиара, либо ради того, чтобы как-то пристыдить Киевстар, опубликовал пост тут. Хотя можно это было сделать по факту окончания программы / поискать что-то ещё. Я нечасто комментирую тут, но сдержаться было трудно после просмотра этого поста и комментариев под ним.
По поводу фактов, Вы уже 4-й раз говорите, что ждете их. Какие факты Вы ожидаете увидеть? И кто обещал их предоставить?
По поводу ожидаемых фактов. Я об этом комментарии habr.com/post/418591/#comment_18941197 Возможно, я заблуждаюсь, но именно переписка многое может прояснить.
Внутри компании обычно есть свои правила. Конкретно по теме, поднятой автором:
1. Есть правила платформы bugcrowd
2. Есть определение того, за что исследователь получает вознаграждение
3. Есть факт нарушения исследователем правил платформы (что по сути и есть нарушением профессиональной этики) под соусом «льву мяса не додают»
4. Есть факт халатности на стороне Киевстар
5. Есть факт того, что части сообщества по сути пофиг на объективность, все ополчились за 50 баксов (и это ёлки-палки низковато)
Ждём фактаж, т.к. тут его малость недостаточно для нормальных выводов.
ableev уточните, плиз, а с какой версией Zabbix-а работали? (ссылка на доку ведёт на 3.0, она ли?)
да, публикуют и это прекрасно. Каждый из предоставленных вами примеров — результат нормального исследования. А не перебор ссылочек из html-файла, утекшего от сотрудника какой-то компании.
С параллельным участием в BB-программе этой компании, паралельным получением утёкшего html-файла и публикацией на хабре с целью поднять ЧСВ и проучить оную компанию / доказать её неправоту.
Вопиющий факап Киевстар никто не отрицает, это фактически подтверждается комментарием представителя компании. Хз, что там происходит, на самом деле.
Единственное, в чём имхо они молодцы — в самом факте существования багбаунти, но подобные факапы, конечно, сильно отбросят их назад.
Я имею в виду сам метод получения файла и факт того, что человек желает вознаграждение за это. Если бы он был найден примером, через индекс гугла / яндекса или получен через публичные каналы коммуникации — вообще не вопрос. Это достойная вознаграждения работа даже в out of scope
я имею в виду то, что он принял участие в программе и согласился с её правилами. И публикацией их нарушил. Кроме того, весь сыр-бор тут из-за денег, а деятельность за деньги — это как раз та самая профессиональная деятельность.
Исходя из вашего описания non-profit деятельности есть большое подозрение, что посыл конкретно вашего поста в этом случае был бы не о деньгах ) Хотя, возможно, я заблуждаюсь.
Я вижу проблему сугубо в подходе к снаряду. Т.е. то, что ТС руководствовался личными мотивами, а не объективным освещением данного кейса. Публикация — маст хев, но не отсебятинка, а нормально подтверждённая фактами история с выводами и советами. Кстати, на месте ТС-а я бы опубликовал всю переписку в этом посте сразу (нарушать, так нарушать).
да, со стороны Киевстара в этом случае. И я за то, что уже написал dimaviolinist по части извинений и констатации вопиющего факта со стороны провинившейся компании.
P.S. к кому ещё мог попасть этот файл и попал ли — думаю, что вряд ли узнаем.
Лично меня в этом кейсе бесит не только халатное отношение к паролехранению, но именно то, что ТС вообще ничего не потрудился сделать, чтобы получить этот файл. Да, не ок хранить так пароли и возникают вопросы к компетентности сотрудников и к компании вообще. Не ок отправлять письма, не проверив адресата. Не ок не удалять автоматом письма, которые предназначены не тебе (тут уже вопрос другой этики). Но также не ок на волне личных обид выносить сор из избы, когда ты согласился ранее это не делать.
Я точно ни на кого не обижаюсь. И неизвестно, что он выложил или не выложил.
Просто алгоритм действий ТС, который описал выше — это не о Хабре имхо.
Если я вне работы (на которой починяю примусы) поломаю кому-то примус (никак не связанный с работой), то это профессионально или нет?
Участием в багбаунти программе.
несмотря на количество минусований, как по мне основных проблем две. 1. Алгоритм «принял участие в программе — получил шарово файл с паролями — захотел срубить денег — в отместку публиканул на хабре». Имхо именно это и есть нарушением профессиональной этики.
2. Халатность Киевстар и отсутствие фактажа и оф.позиции по этому вопросу (ичсх, подобная халатность встречается независимо от уровня/размера/оборота компании).
Жмотства лично я исходя из алгоритма в пункте 1 увы, но не вижу. Мне лично малость грустно от того, что такое количество людей алгоритм 1 вообще не рассмотрели, он тут тупо между строк читается (и да, это моё мнение и как бы не защищаю Киевстар).
Т.е. вы считаете, что багхантингом и написанием тут постов занимаются нубы? Профессиональная этика и деятельность — это два разных понятия. Да, конкретно в этом случае ТС хотел получить доход, ничего не делая, но это не меняет сути.
Это отражено в заголовке и озвучено автором — он участвовал в программе. Появятся какие-либо скриншоты с подтверждениями, отлив и покажет, кто купался
Поддерживаю, но судя по всему, там не было персональных данных.
Угу, вообще удивительно, почему никто этого до сих пор не сделал. Хотя почему-то уверен, что реакция и хайп были бы аналогичны, исходя из пропорции проголосовавших.
Довольно исчерпывающий пункт, с учётом того, что программа bugcrowd.com/kyivstar не завершена.
Кроме того, исследователь получил письмо, как я понял, по ошибке. И либо ради пиара, либо ради того, чтобы как-то пристыдить Киевстар, опубликовал пост тут. Хотя можно это было сделать по факту окончания программы / поискать что-то ещё. Я нечасто комментирую тут, но сдержаться было трудно после просмотра этого поста и комментариев под ним.
По поводу ожидаемых фактов. Я об этом комментарии habr.com/post/418591/#comment_18941197 Возможно, я заблуждаюсь, но именно переписка многое может прояснить.
1. Есть правила платформы bugcrowd
2. Есть определение того, за что исследователь получает вознаграждение
3. Есть факт нарушения исследователем правил платформы (что по сути и есть нарушением профессиональной этики) под соусом «льву мяса не додают»
4. Есть факт халатности на стороне Киевстар
5. Есть факт того, что части сообщества по сути пофиг на объективность, все ополчились за 50 баксов (и это ёлки-палки низковато)
Ждём фактаж, т.к. тут его малость недостаточно для нормальных выводов.
скорее всего отсебятина, но вот Розенталь всё-таки ответил относительно замечания Superl3n1n :)
имхо это немного оффтоп относительно к поднятой теме.