Комментарии 101
После длительной дискуссии Рокетбанк всё же предложил вознаграждение, от которого я был вынужден отказаться.
Можно этот момент поподробнее?
видимо, это было настолько мало…
Дело принципа, скорей всего.
Скорее вариант, что деньги платятся без публикации статьи.
@mrEisenberg, это правда?
Трешак какой-то вся эта ситуация, касательно ответов и поведения банка.
Я принципиально не публикую отчёты аудитов, если компания отнеслась к проделанной работе достойно.
В данной ситуации, чтобы получить от них ответа мне пришлось написать около 5 писем.
В данной ситуации, чтобы получить от них ответа мне пришлось написать около 5 писем.
-Привет, Олег!
Уже 5 дней жду ответ по аудиту, он будет?
>А нужен? :)
То, что написано здесь по этому поводу — это просто слова, написанные несколько минут назад.
Казалось бы, банк — деньги, безопасность, репутация, а нет, все равно жлобятся.
Напишите Олегу Тинькову :)
Он точно одобрит этот пост :)
Он точно одобрит этот пост :)
Да у него у самого рыльце в пушку. Про его банк тоже пару дней назад был пост, так что «чья бы корова мычала»
Посмотрите, как они чётко отреагировали, заплатили и сразу после этого ввели баг-баунти. Мне не особо нравится их индуцированный скандальный пиар, но реакция на внешние раздражители у них безумно крутая.
А они заплатили? Можно ссылку, я не нашёл.
Действительно, вы правы. У меня почему-то в голове после комментариев того поста отложилось, что заплатили.
Они заплатили, причем, неплохое вознаграждение (как об это заявил автор), и пишет он об этом не в комментариях, а уже в самой публикации под заголовком Хэппи энд.
Я находил XSSку за 1 минуту на tinkoff.ru вроде 2 года назад. После репорта не зафиксили.
ТКС это последний банк в который стоит обращаться, лучше переплачу проценты в другом банке, чем буду связываться с этим банком. Вообще хороших банков не бывает.
То, что написано на сайте по этому поводу — это просто слова, написанные мной 3 года назад.
Подвис на этой фразе. Отвис, написал этот коммент, пошел висеть дальше.
Аналогично. Человек о своей репутации просто не парится.
Отличный политик пропадает в обычном банке.
Поражает то, что баги исправили за час, а убрать «просто слова», которые вводят в заблуждение не удосужились и поныне. «Люди, такие люди»…
Хаха, мне приблизительно так же однажды ответил начальник на договоренность о повышении.
С тех пор я сменил место работы, а тот человек должность.
С тех пор я сменил место работы, а тот человек должность.
Баги так баги, мильон, наверное, попросили?)
В приложении Рокетбанка для Android был такой баг: когда переходишь в галерею для прикрепления фотографии в чате с техподдержкой или просто открываешь квитанцию, то если просто заблокировать телефон, то следующий запуск приложения не требует ввода пин-кода. Видимо фокус терялся и приложение просто не блокировалось.
Я сообщил об этом сначала в техподдержку, а потом по контактному email с сайта. Олег Козырев (ну или это просто подпись такая у почтового ящика) ответил, что не считает это уязвимостью. Тем не менее через несколько месяцев меня проинформировали, что баг закрыт.
Я сообщил об этом сначала в техподдержку, а потом по контактному email с сайта. Олег Козырев (ну или это просто подпись такая у почтового ящика) ответил, что не считает это уязвимостью. Тем не менее через несколько месяцев меня проинформировали, что баг закрыт.
А в это время на сайте:
Просто нет слов.
Безопасность ваших денег в Рокетбанке — это важно.
Просто нет слов.
Желательно, чтобы ответили официально на подобную статью, ибо в твиттере у Рокетбанка своя версия.
Интересно, в 5 раз больше какой суммы. И как выглядел шантаж.
Но совершенно не факт, что мы узнаем ответы на эти вопросы.
Но совершенно не факт, что мы узнаем ответы на эти вопросы.
Если бы автор хотел сумму в 5 раз больше — он бы не стал шантажировать и пошёл бы продавать PoC на эксп или профильный форум. имхо.
Площадку для продажи ещё нужно найти. И даже если найдётся — там ещё найти заинтересованное лицо. Посему автор мог ограничиться попыткой набить цену у банка: тут хотя бы ясно с кем общаться
Хотя, конечно, всё равно это всё не оправдывает действия сотрудника, который не отвечает за базар, написанный 3 года назад.
Хотя, конечно, всё равно это всё не оправдывает действия сотрудника, который не отвечает за базар, написанный 3 года назад.
Заявления о возможность продать на чёрном рынке вот так просто, без проблем наводят на мысль, что автор насмотрелся Брат-2. И считает, что достаточно познакомиться с продажной женщиной, которая обазательно сведёт с криминалом. А там — дело за малым: угрожать самодельным пистолетом запустить самодельный вирус, который выведет бабло с их компьютера
Господа минусующие. Я не прав? Может, вы поведаете свою кул стори как вы продали информацию об узявимости не самой компании, а на «профильном форуме»? Иначе, как говорил герой Гёте: «Суха теория, мой друг. А древо жизни вечно зеленеет».
Есть опыт "одного моего друга" — по молодости приторговывал взломанными форумами и гостевухами (они тогда были в моде). Так вот "мой друг" говорит что проблем с торговлей не было, и в эти же руки можно было спокойно продавать и эксплойты. Причем даже без знания языка — рунета достаточно.
У нас видимо общий друг с gearbox. Мой друг тоже без каких либо проблем продавал доступы (шеллы) к различным сайтам, их охотно покупали владельцы связок. А если моему другу попадался сайт финансовой тематики — доступы к таким сайтам скупали в течение часа. Что бы найти «профильный форум» достаточно вбить в гугле «продажа шеллов» и первая ссылка ведёт на форум по уязвимостям.
А вообще, судя по вашему профилю, можно предположить, что вы пытаетесь вычислить пользователей которые занимаются незаконной деятельностью. Так что на всякий случай скажу: мой друг больше таким не занимается.
А вообще, судя по вашему профилю, можно предположить, что вы пытаетесь вычислить пользователей которые занимаются незаконной деятельностью. Так что на всякий случай скажу: мой друг больше таким не занимается.
gearbox
VANSCoder
Давайте отделять мягкое от тёплого. В этих кул стори явно нехватает информации о цене. Ранее на античате «продажа шеллов» на сайт проходила за 1 бакс (в некоторых случаях до 10). Низкая цена была связана с тем, что шеллы заливались на множество сайтов, подверженных одной и той же уязвимости. И в основном как раз это и были форумы и гостевухи. На античате до сих пор есть предложения по продаже. Обратите внимание на ценники.
Также рекомендую обратить внимание на доклад с конференции PHDays Подпольный рынок 101: статистика цен и схемы ценообразования (Максим Гончаров, антивирусная лаборатория). Там, помимо статистики цен, ещё полезно будет узнать, что антивирусные лаботатории за такими вот торговыми площадками пристально наблюдают. Выводы делайте сами
Я, в отличие от вас, господа, оперирую фактами, которые можно проверить. А слова вроде: «один мой друг вбил в гугл запрос… попал на форум и успешно продал, но цену не скажу» лично у меня вызывают ассоциации с не менее убедительными речами Джесики Псаки.
Резюмирую: история о продаже за 10-100 баксов по моим меркам не тянет на кул стори вообще никак.
VANSCoder
Давайте отделять мягкое от тёплого. В этих кул стори явно нехватает информации о цене. Ранее на античате «продажа шеллов» на сайт проходила за 1 бакс (в некоторых случаях до 10). Низкая цена была связана с тем, что шеллы заливались на множество сайтов, подверженных одной и той же уязвимости. И в основном как раз это и были форумы и гостевухи. На античате до сих пор есть предложения по продаже. Обратите внимание на ценники.
Также рекомендую обратить внимание на доклад с конференции PHDays Подпольный рынок 101: статистика цен и схемы ценообразования (Максим Гончаров, антивирусная лаборатория). Там, помимо статистики цен, ещё полезно будет узнать, что антивирусные лаботатории за такими вот торговыми площадками пристально наблюдают. Выводы делайте сами
Я, в отличие от вас, господа, оперирую фактами, которые можно проверить. А слова вроде: «один мой друг вбил в гугл запрос… попал на форум и успешно продал, но цену не скажу» лично у меня вызывают ассоциации с не менее убедительными речами Джесики Псаки.
Резюмирую: история о продаже за 10-100 баксов по моим меркам не тянет на кул стори вообще никак.
По этим причинам, как я уже писал (в комментарии к другой статье) я с информацией о найденных багах ничего не делаю: тратить время на разговор с саппортом с неизвестным результатом — смысла не вижу, надоело уже. А ходить искать где мне предложат нормальну цену — тоже неизвестно чем закончится сей поиск.
Резюмирую: история о продаже за 10-100 баксов по моим меркам не тянет на кул стори вообще никак.
Друг, про которого я Вам рассказывал, вытащил как то две уязвимости — одна на не очень популярном форуме, другая на совсем никому не известной гостевухе. Форум имел порядка 30 000 инсталляций, подергать их с выдачи пс и автоматизировать процесс поимения заняло два вечера, было продано что то чуть больше тысячи, и там да — ценник был вообще ни о чем. Что компенсировалось объемами. А вот гостевуха была поинтереснее. Сайты были строго европейские, их было немного (чуть больше 50), но все как на подбор узкопрофильные. В общем первый же клиент, который увидел список сайтов — оплатил сам эксплойт (там банально заливалась картинка с php кодом, в те времена исполнение произвольного кода не было чем то шокирующим). Хорошо оплатил.
А кулстори с подробностями, и уж тем более от действующих игроков а не сбитых пилотов? Извините, товарищ майор, но нет.
Форум имел порядка 30 000 инсталляций, подергать их с выдачи пс и автоматизировать процесс поимения заняло два вечера, было продано что то чуть больше тысячи
Если бы автор хотел сумму в 5 раз больше — он бы не стал шантажировать и пошёл бы продавать PoC на эксп или профильный форум. имхо.
Одно дело — продать информацию об уязвимости. Другое — воспользоваться ею для несанкционированного доступа, и уже эти шеллы продавать. Вы правда не видите в этом разницы?
Это просто слова… ну вы поняли :)
Еще один сервис который вместо признания ошибок занимается нагнетанием скандала и бездоказательной клеветой, российский маркетинг как он есть.
Ну, кто-то из них должен выложить переписку, раз такое дело.
Хотя, к слову, я вообще не понимаю версии банка. Чем именно он их шантажировал? Я так понимаю, что детали уязвимости он сообщил им сразу.
Публикацией, что ли? Так публикация после исправления — это нормально, выплата вознаграждения её не отменяет, вообще-то, в нормальной ситуации. Она нужна в том числе для того, чтобы другие на те же грабли не наступали, а компании — чтобы уведомить клиентов и показать им, как хорошо и быстро компания реагирует на проблемы.
Кстати, у них ещё более крутое заявление есть — то же самое плюс «а “баг“ и не баг»:
@d_keman @dmgcat автор забыл упомянуть, что мы предложили деньги, но он попросил в 5 раз больше и начал шантажировать :) а “баг“ и не баг)
— Рокетбанк (@rocketbank) 16 августа 2016 г.
Так, чуть-чуть пообщался с ними в твиттере. Они вот чего говорят:
- Это не страшная бага. Прим: это Stored XSS-то не страшная, ага.
- Это не первая уязвимость, о которой mrEisenberg им сообщал, и за остальные они платили.
- Публиковать переписку или нет — личное дело mrEisenberg.
Твиты об этом — под вышеприведённым, сюда вставлять не буду, чтобы место не занимать.
mrEisenberg, ждём истории переписки =).
Они не считают ее серьезной, т.к. считают, что 3dsecure их спасет… На указание на то, что не все сайты проверяют 3d secure, с радостью ответили, что их количество стремится к нулю…
А как 3dsecure спасает от XSS? Там можно нарисовать что угодно на странице банка, например + какие угодно запросы в этом домене погонять, SOP же не помешает. Да и в урле тоже нарисовать что угодно в этом домене, в том числе и какую-нибудь форму логина в клиент-банк, плюс ждать, пока пользователь введёт логин-пароль и код из смс.
-Это даже не баги
-Он рекламирует свою аудиторскую контору
-Автор забыл сказать, что до этого требовал в 5 раз больше сумму и шантажировал
-Требовал в 5 раз больше чем ОБЫЧНО
-Мы предложили вознаграждение сразу же
-Эта цитата вырвана из контекста после уже предложенной суммы первой
-Можно было посмотреть друзей, чьи телефоны вы и так знаете
-Да, но в этом случае нужно генерить под каждого уник ссылку. Под каждого генерить сквот ссылку
-Профессионалы понимают из статьи, что опасностей не было.
…
На их месте я бы извинился за допущенные ошибки перед клиентами, а не постил такое в твиттере.
Выглядит просто ужасно.
Ситуация простая, меня игнорировали, я сказал, что планирую опубликовать отчёт аудита, после чего мне оперативно ответили и сказали, что если я буду пытаться их шантажировать, то мы ни о чем не договоримся и что баг баунти больше нет.
Публикацию отчёта аудита они восприняли как шантаж.
Я им объяснил, почему уязвимости критичные, что в очередной раз сливать персональные данные ужасная политика и т.п.
У меня спросили, во сколько я оцениваю проведенный аудит.
Я объективно оценил проделанную мной работу, опираясь на личный опыт и реварды в открытых Bug Bounty.
Сумма оказалась больше их предложения.
Они ответили, что их это не устраивает, я пожелал всего доброго.
-Он рекламирует свою аудиторскую контору
-Автор забыл сказать, что до этого требовал в 5 раз больше сумму и шантажировал
-Требовал в 5 раз больше чем ОБЫЧНО
-Мы предложили вознаграждение сразу же
-Эта цитата вырвана из контекста после уже предложенной суммы первой
-Можно было посмотреть друзей, чьи телефоны вы и так знаете
-Да, но в этом случае нужно генерить под каждого уник ссылку. Под каждого генерить сквот ссылку
-Профессионалы понимают из статьи, что опасностей не было.
…
На их месте я бы извинился за допущенные ошибки перед клиентами, а не постил такое в твиттере.
Выглядит просто ужасно.
Ситуация простая, меня игнорировали, я сказал, что планирую опубликовать отчёт аудита, после чего мне оперативно ответили и сказали, что если я буду пытаться их шантажировать, то мы ни о чем не договоримся и что баг баунти больше нет.
Публикацию отчёта аудита они восприняли как шантаж.
Я им объяснил, почему уязвимости критичные, что в очередной раз сливать персональные данные ужасная политика и т.п.
У меня спросили, во сколько я оцениваю проведенный аудит.
Я объективно оценил проделанную мной работу, опираясь на личный опыт и реварды в открытых Bug Bounty.
Сумма оказалась больше их предложения.
Они ответили, что их это не устраивает, я пожелал всего доброго.
Да какая разница. Что тиньков, что рокетбанк, они могут говорить что угодно по поводу тех людей или ситуаций по которым раскрывались факапы продуктов. «После драки кулаками не машут» — тут настолько простой смысл… НИКТО не будет помнить про автора, его даже никто не знает, но ВСЕ будут помнить и знать, что у продуктов были косяки.
Все отлично помнят занятную историю с подменой договора тинькова (но никто не знать чем кончилось), теперь вод все будут знать что РокетБанку на свою репутацию абсолютно фиолетово.
Причем занятно, ответили — значит признали. Еще слаще…
И то, что автор появился здесь а рокетБанк теперь оправдывается в твиттере, это причина того, что рокетБанк не смог договориться. Не важно сколько просил автор, важно что, видимо, конструктивного диалога не получилось и теперь ВОТ.
Все отлично помнят занятную историю с подменой договора тинькова (но никто не знать чем кончилось), теперь вод все будут знать что РокетБанку на свою репутацию абсолютно фиолетово.
Причем занятно, ответили — значит признали. Еще слаще…
И то, что автор появился здесь а рокетБанк теперь оправдывается в твиттере, это причина того, что рокетБанк не смог договориться. Не важно сколько просил автор, важно что, видимо, конструктивного диалога не получилось и теперь ВОТ.
Ой да ладно вам, после этого — реально задница Тинькоффу… Хотя?.. Бабло побеждает зло и все всё забудут…
IMO твиттер банку не нужен, только ущерб репутации больше нанес. Прежде всего банк должен быть серьезной организацией, которой вы можете доверить свои денежные средства, а на деле видим как они в твиттере выясняют отношения с одним(!) человеком… Причем, те кто не знал об этом, теперь узнали из твиттера. А оправдания банка на уровне подростков, а не серьезных мужиков отвечающих за свой бизнес.
А что было с бандеролькой?
Человек и не отрицает, что был кардером, так что в плане безопасности для бизнеса, Бандеролька правильно поступила. Подробно тут всё написано.
Как легко потерять доверие, спасибо автор.
Напомните пожалуйста название программы-прокси, с помощью которой Вы просматривали запросы.
>>То, что написано на сайте по этому поводу — это просто слова
Такое впечатление, что современные банки и по поводу тарифов/условий скоро так будут поступать. Правда не всегда у них это будет получаться
Такое впечатление, что современные банки и по поводу тарифов/условий скоро так будут поступать. Правда не всегда у них это будет получаться
Ну вот, в статье про тинькофф Newbilius писал про пушистость рокета, а теперь оказывается, что и тут не так все хорошо… Видимо честных и не скандальных банков более не осталось.
Да, и я дико разочарован таким поступком со стороны Рокетбанка. Воистину, разрушить собственную репутацию — раз плюнуть.
Если вы приглашаете друга в банк, то логично, что его персональные данные в той или иной степени вам и так известны.
Думаю, при таком пофигизме самого Рокета, имеет смысл писать в Точку (tochka. com) — рокет входит в этот филиал, а у них с фидбеком все вроде бы весьма хорошо.
Сумма, которую Вы видите на вашем счете — это просто слова, сгенирированные скриптом. На самом деле
Денег нет, но вы держитесь
После того, как люди, аналогичные топикстартеру перестанут миндальничать и сольют несколько уязвимостей «темным силам» интернета, адекватные и радостные программы bug-bounty станунт повсеместной нормой для банков и т.д. Ведь сейчас они прекрасно понимают, что добрые хакеры делают беспатно для них (банков) сложную и дорогостоящую работу по аудиту безопасности ПО.
>По ссылке находится страница квитанции с JavaScript-кодом, который изменяет страницу квитанции на страницу перевода средств с перехватом данных банковской карты:
Ловить (и без того не многочисленных) клиентов рокета (у которого веб банкинга то нету) по всему интернету и втюхивать им страничку с переводом денег, это конечно ужасный баг за который стоит требовать много денег. Уязвимость — да. Стоит ли платить деньги даже имея забытую страничку о баг баунти — нет. Разводить драму тоже что они в чем то не правы — тоже.
PS. Этичные хантеры о деньгах вообще не заикаются, кстати.
Ловить (и без того не многочисленных) клиентов рокета (у которого веб банкинга то нету) по всему интернету и втюхивать им страничку с переводом денег, это конечно ужасный баг за который стоит требовать много денег. Уязвимость — да. Стоит ли платить деньги даже имея забытую страничку о баг баунти — нет. Разводить драму тоже что они в чем то не правы — тоже.
PS. Этичные хантеры о деньгах вообще не заикаются, кстати.
Вообще немного странно, что автор ни на один комментарий не отвечает. Ничего не хочу говорить, но для себя делаю вывод, что у обеих сторон рыльце в пушку
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Рокетбанк подверг риску персональные данные клиентов и данные банковских карт