Комментарии 306
Да. Сберу ВСЕГДА плевать на безопасность пользователей. Пример. В веб версии нет вирт.карт. И нельзя отключить рекуррентные платежи. Т.е. ты оплачиваешь покупку на 10р. При этом подключаются рек.платежи. И могут затем списывать большие суммы по 1000-5000р(псевдоподписки итд). И ты не знаешь об этом(пока деньги не уйдут). нельзя просмотреть рекуррентные платежи в вебверсии. И отключить эти платежи тоже нельзя. Впрочем тех поддержка сбера очень грамотная. Предложила сразу два способа отключить рек.платежи. В мобильном приложении.И второй вариант для web версии - заблочить карту. Нет карты нет списаний. И это не сарказм. Именно это мне и предложили 4 года назад. Сейчас узнавал всё также. Это лишь один из примеров. Кстати пользуюсь также Ю-мани. Раньше было очень удобно и круто. Сейчас просто ужасно.
Тащить всех в приложение выглядит очень тупо на фоне отсутствия приложения в сторах
Корпорация. Отдел тащения в приложение и отдел размещения в сторах - в разных ветках находятся.
отсутствия приложения в сторах
На всех устройствах, которые будут продаваться в России, в обязательном порядке должен быть предустановлен магазин приложений RuStore вне зависимости от решения правообладателя операционной системы. Такое постановление подписало правительство
А покласть на постановления: смартфон 2018 года выпуска живёт уже вторую жизнь и асем устраивает. Никаких русторе и предустановленного гогна на нем нет и не будет )
Можно сколько угодно обязывать установить рустор, но самая желанная аудитория банков продолжает использовать айфон, и кто побогаче и поумнее, обходят стороной всякие левые методы установки приложений. Так что сбер в пролете со своей упертой тупостью
Поделитесь статистикой? Среди моих знакомых прогеров и учёных владельцев айфонов от силы 10%
Платёжеспособность.
Наличие айфона ни тогда, ни сейчас не говорит о какой либо платёжеспособности. А вот об отсутствие серого вещества очень даже, достаточно вспомнить на что готовы пойти некоторые индивиды для того чтобы получить заветный айфон))
Использование такого уровня софистики на ресурсе, который позиционирует себя, как для "прошаренных"/учёных/инженеров это всё равно, что сказать перед диалоговом:
"сейчас я солгу" и потом начать заливать про заговоры рептилоидов.
Таки, говорит, что основы современного маркетинга есть. Обладатели айфонов гораздо легче расстаются с деньгами и покупают различные "премиальные" (как в кавычках, так и без) сервисы. Азы современной сегментации рынка, однако.
Наличие айфона ни тогда, ни сейчас не говорит о какой либо платёжеспособности. А вот об отсутствие серого вещества очень даже, достаточно вспомнить на что готовы пойти некоторые индивиды для того чтобы получить заветный айфон))
adb uninstall - k --user 0 com.rustore.app или как там у них пакет этого калищного стопа называется
К сожалению уже устоявшаяся классическая дискриминация по признаку наличия\отсутствия смартфона. Типа, если нету у тебя смартфона, то ты и не человек вовсе.
Раньше ещё было подобное с вуцаппом. Все низкоинтеллектуальные личности пользовались только им. Строители, которые делают ремонт, продажники «пришлю цену в вуцаппе», мамкины группы в дет.садах. Создавало определённые неудобства тем, кто не принял его ублюдочные условия и отказался в пользу телеграма.
Это вы ещё в забуграх не пожили, тут все в вацапе-вайбере сидят.
Просто замечу, что сейчас курс взят на то, чтобы функционал был максимально одинаков в вебе и в приложении. Возможно, не всё допилили пока еще.
Мне иногда кажется что баг трекер обязан быть открытым для всех на сайте площадки, со всеми описаниями и комментами, дабы действительно серьезные уязвимости быстро закрывались и мотивировали компании заботиться о тех данных без которых они не могут жить, такие как номера телефонов ФИО и прочее.
Отличная идея, любители zero day уязвимости эксплуатировать скажут спасибо.
Хотя отработанные репорты можно было бы и показывать чтобы на дубликаты не обижались так сильно.
Иначе происходит то что происходит, лениво отрабатываются серьезные уязвимости и ко всему прочему еще и открещиваются, "мы просто забыли закрыть трек", и тд и тп, плюс это большие риски для крупных клиентов, которые вообще не в курсе происходящего, мало вероятно что компания шлет им уведомление "у нас тут критический баг, но сейчас править мы его не будет, как нибудь попозже".
Тоже недавно нашёл ошибку в мобильном приложении Сбера, написал им, чтобы исправили. Попросил подписку на год, там сумма меньше 5000р всего бы вышла... Даже это зажопили, а исправили в течении недели.
🖕
При всех косяках Сбера, не совсем понимаю, как им отображать рекурренты. Говорю, как разработчик, интегрировавший их эквайринг в интернет-магазины. Когда юзер платит, Сбер возвращает магазину id платежной связки. Воспользовавшись связкой, магазин может сделать следующее списание. Или десять. А может вообще не делать. У Сбера просто нет информации, подключен рекуррент или нет.
Мы даже один раз списали с клиента более 60 тысяч за несколько минут, ошибившись в конфигурации (установили списание раз в минуту, вместо раза в месяц). Искренне было стыдно, конечно (и деньги вернули мгновенно), но вот такое вот возможно.
Это, вообще, говорит в пользу полного запрета такого механизма. Разрешение на платёж с определённой частотой и суммой должно храниться в банке. Подписка присылает запрос, а банк отвечает «клиент отозвал разрешение». И всё.
Не для всех услуг это подойдет. Банально, когда сумма разнится в зависимости от объема потребления (например, облачный хостинг). В общем, оба механизма нужны.
Можно прислать клиенту запрос на подтверждение.
Можно прислать клиенту запрос на подтверждение.
Такое тоже не особо подходит. Смысл то в чем - в том чтобы "настроить один раз - и забыть", ибо народ в массе своей ленивый
А если присылать запрос на подтверждение каждый раз - то куда его присылать? В приложение пушем? СМС слать? В web-банке показывать уведомление?
В любом случае юзеру придется что-то там подтверждать, ковыряться (в случае пуша - и вовсе приложение запускать, а там тогда уж недалеко и до простого "найти платеж в шаблонах да нажать "повторить"))) )
Да, рекуррентные платежи - зло как по мне, и лично я ими никогда не пользуюсь, но увы, побеждает, как всегда, большинство
P. S. Тоже "имел честь" интегрироваться со сбербанком в плане платежей, так раз несколько месяцев стабильно от них сообщение, что кто-то из юзеров настроил автоплатеж (но тут несколько другое, тут не мы храним ничего у себя как в эквайринге (ибо мы не магазин), а как раз всё хранится в банке, клиент тупо выставил один раз интервал, условно неделю, раз в неделю у него банк списывает указанную в настройках сумму, и отправляет его на л/с в нашей системе).
И бывает что л/с в нашей системе уже не существует, автоплатеж долбится и долбится в бесконечной попытке пробиться, наша система его само собой отбивает, мол нет такого л/с )))
Клиенту то пофиг (списания не происходит), а вот сберу, внезапно, нет.
Видать графики в графане краснеют у их службы мониторинга, или ещё что
Могу рассказать как отсталые дикари-кудаимдонашихинтернетсервисов делают в Норвегии повторяющиеся платежи. Ты можешь 1 раз разрешить магазину или кому угодно электронно выставлять тебе счета. Например за электричество или спортзал. Раз в месяц тебе в приложении банковском прилетает запрос в духе "SATS requests 800 NOK - approve?" Ну и просто кликаешь ок если это что-то чего ты ожидал. Всех делов. А вот классические платежи когда ты всю карту где-то ввёл и согласился на повторяющиеся платежи - да тоже в общем-то никак не отслеживается.
Банк вообще не в курсе «подписок»: есть запрос на авторизацию, если условия соблюдены (аутентификация прошла и списание возможно), то происходит списание. Вся кухня токенизации (куда входят рекурренты и подписки) находится на стороне PSP и (с недавних пор) схемы.
Это вы ещё про card-on-file и unscheduled card-on-file не слышали, хотя, наверное, пользуетесь. Тут вообще никаких проверок: ваши карточные данные просто хранятся у магазина, а в PSP приходит файлик с номером карты и сколько списать.
У вас тут Сбер присутствует как три совершенно разные, и, формально, не связанные между собой сущности: Сбер-платёжный-шлюз, Сбер-эквайер и Сбер-банк-выпустивший-карту. Между двумя последними должна ещё быть схема (НСПК + Мир), но привет, Сбер!
Токен (id платежной связки) возвращает шлюз (могла бы вернуть схема, но я не знаю, есть ли у Мира scheme tokens). Соответственно, токеном владеет только шлюз: он умеет сопоставить токен с карточными данными и «опорной» транзакцией—той, на которую был выдан токен, и идентификатор (RRN) которой отправляется в эквайера. Эквайер мог бы поделиться этими данными с банком-выпустившим-карту (и таки Visa, например, требует этот идентификатор, а, значит, его можно сделать доступным банку-выпустившему-карту), но тут уже внутренняя кухня Сбера.
Токен можно настроить разными способами, в том числе ограничив частоту применения (зависит от конкретного шлюза). И с токеном может ходить как сам мёрчант (расписание у мёрчанта), так и платёжный шлюз сам хранит расписание и списывает деньги (но не все шлюзы так могут).
В украинском монобанке как-то отображается.
И можно отключить.
Очевидно это "id платежной связки" можно инвалидировать.
Или как-то так:
https://developer.visa.com/capabilities/visa-subscription-manager
Тут в чём проблема: id платежной связки можно инвалидировать только если он выдан самой Визой (так называемые scheme tokens, которые выглядят как номер карты, только другой).
С токенами, выданные платёжным шлюзом, так не получится: схема о них ничего не знает, знает (должна знать) только про идентификатор опорного платежа.
Просто приведу пример, как это работает. На каждой карте можно зайти в раздел онлайн подписок.
Скрытый текст
Зайдя в подписку видим список платежей и возможность как удалить привязку совсем, так и забллкировать не удаляя.
Скрытый текст
Если отвязать привязку, то следующая оплата по подписке не пройдет уже никогда, надо создавать подписку заново. Если мерчант конечно умеет обрабатывать это.
Если заблокировать подписку, то привязка не удаляется, но проходить платёж не будет.
Например, я дал свою карту человеку для участия в какой-то новогодней акции. Он пообещал подписку через месяц халявы отрубить, но конечно этого не сделал и деньги у меня снялись. После чего я зашёли заблокировал подписку, и все подписки в дальнейшем не проходили.
Скрытый текст
Резюмируя - похоже техническая возможность таки есть.
Условно говоря, подписки работают так: сначала вводятся данные реальной карты, процессинговый центр валидирует их, убеждается, что всё правильно, и возвращает запрашивавшему номер "виртуальной карты" ("номер подписки"), который виден только запрашивавшему, сохраняется в его базе (сохранять данные реальной карты он в базе права не имеет) и через него в дальнейшем будут проходить все связанные с этой подпиской платежи. Естествено, что владелец карты имеет право в любой момент сказать банку "а отвяжите подписку, которая приходит от фирмы такой-то, от моей карты", и в следующий раз когда подпискодатель предъвит этот номер к оплате, банк предложит ему лососнуть тунца.
Перед тем как баг-баунтить необходимо перечитать все условия, договоры, есть ли вообще выплаты за поиск багов и уязвимостей. Юридически компания ничего на самом деле не должна или чего еще хуже обвинит и подаст иск в случае найденной уязвимости, как было с РЖД (если кто помнит, с их дыркой в авторизации на веб-портале через wifi). Когда понимаешь что компания не готова или с очень плохой репутацией, действительно выгоднее как по деньгам так и времени выложить автоматизированный эксплойт и предлагать услуги на форуме. В разы больше волатильность такой услуги, чем единоразовый платеж или дай бог плюшки сервиса, ну или принять участь судебного иска.
Могу предположить, что по факту выплаты вознаграждения, параллельно с этим должны были кого-нибудь натянуть за такую уязвимость, а так же всех причастных, кто затягивал рассмотрение отчета. Поэтому тихонько всё спустили на тормозах, прикрыв свои задницы. Либо за bugbounty почти не следят, а ошибку таки сами нашли и решили не беспокоить высокое руководство такими мелочами.
Обращение является дублирующим, это подтверждается нашими внутренними документами. Мы предоставили все необходимые подтверждения дубля репортинга площадке. По правилам программы, вознаграждение за дубли не выплачивается.
Площадка подтвердила, что мы ей предоставили доказательства, что баг был зафиксирован раньше обращения.
А объективный контроль какой-то есть? Как человеку со стороны понять-то, что там действительно дубль был, а не вы решили кого-то на деньги нагреть? Или джентельменам верят на слово?
С автором уже была переписка на площадке Bugbounty, мы предоставили наши доводы площадке, наша позиция подтверждена, но автор это повторно игнорирует и подает информацию неполностью. Наша позиция довольно четкая — за дубли мы не платим.
автор это повторно игнорирует и подает информацию неполностью.
Что ж, справедливо будет услышать обе стороны. Чего именно не хватает для полной картины?
Автор получил ответ и от нас, и от администрации Bugbounty. Но в своих публикациях автор не приводит ответ площадки о том, что мы предоставили документальные подтверждения, что баг был найден до обращения, и подает информацию однобоко.
А почему репорт сразу не закрыли? Зачем ждать два месяца?
Ощущение что искали у себя крайних и исправляли баг.
Скорее всего огромная цепочка сотрудников.
Я именно про это и говорю.
Спасибо за ссылки) очень увлекательное чтиво, прям олдскулы свело))
нам тут 7-8 месяцев назад приходило письмо от Adobe, о том, что дескать софтлайн ВСЕ, и нам нужно сменить реселлера, но было два нюанса - они во-первых отправили нас к конкретному поставщику, а во вторых так же в письме цепочкой случайно прислали часть своей внутренней переписки, где обсуждали, стоит ли нас отправить к "нужному" селлеру)
потрясающе! напомнило выпуск камеди клаб "табличка"
Я бы на месте девушки послал бы данного доброхота трёхэтажным. ) Нет, он, конечно, хотел как лучше.
Но 7 месяцев проблем доставил всем, и в первую очередь ей -- и еще встречаться с ним после этого? )
Мы отреагировали на сообщение на площадке Bugbounty сразу как его получили. Согласно статье, 2 месяца исследователь искал нашу Bugbounty программу. Она вот здесь, на первой странице поиска: https://yandex.ru/search/?text=юмани+bugbounty
Кроме того, автор ошибся с оценкой критичности, мы оценили ее как medium, угрозы средствам клиентов не было. Уязвимость была закрыта в нормативные сроки.
Ого, medium? Правда? А вас не смущает, что из-за вашей уязвимости кто угодно мог встроить ваш сайт в <iframe> и добавить в код вашей страницы внутри фрейма произвольный JS, который спокойно мог вывести средства пользователя со счета, например, на мобильный телефон или еще куда-то?
Я уже молчу про возможность кражи токенов, которая здесь ну просто очевидна.
встроить в
<iframe/>и добавить в код вашей страницы внутри фрейма произвольный JS
Это как? Если домены отличаются то доступа извне iframe в iframe нет, и для коммуникации используется postMessage. Я что-то упускаю?
medium well
извините, не удержался)
Спасибо за статью, пока читал у меня было стойкое ощущение, что буквально в течении последнего года что-то очень похожее публиковалось, но сходу не нашел. Видимо в цифровой среде наших ИТ гигантов, кинуть - это правило, а не исключение.
Вы наверно вспомнили, одну из историй связанных с компанией Apple
Скорее всего https://habr.com/ru/articles/782112/
Да, тоже хотелось бы уточнить как вы встроите JS в iframe с другим доменом.
Вот ваша страница для связи: https://yoomoney.ru/contacts
Где хоть один релевантный контакт или ссылка?
На вашем сайте конкретно, покажите, где хоть один абзац о репортинге уязвимостей?
По их логике если будет ссылка на багрепорты об уязвимостях, значит их система уязвима, а это не так по их мнению :D
В общем мой предыдущий работодатель так же "заботился" о клиентах) если что-то легло или будет сложное обновление, лучше чтобы вообще никто не знал и клиенты и собственная поддержка)
Офигев от ответа @yooteam, приведшего ссылку ниже (один я жульничество вижу?)
Она вот здесь, на первой странице поиска: https://yandex.ru/search/?text=юмани+bugbounty
Я таки нашел цепочку ссылок с головной страницы. Там внизу есть ссылка на site map. Дальше - ссылка на новости (искать - news). Но это удалось, лишь сходив на "найденную" ссылку. А вот напрямую - это что, весь сайт нужно было просмотреть?
это что, весь сайт нужно было просмотреть
вы исследователь или где? :D
— Однако, мистер Дент, маршрут был выставлен для всеобщего ознакомления в местном бюро планирования и висел там девять месяцев.
— Ага, как только я узнал, то сразу же помчался прямо в бюро. Это было вчера в полдень. Вы ведь не особенно утруждали себя предупреждениями? Я имею в виду: никому ни слова, ни одной душе, правда?
— Но маршрут был обнародован для…
— Обнародован? В конце концов мне пришлось спуститься в подвал, чтобы отыскать его!
— Верно, там у нас находится отдел информации.
— С фонариком!
— Наверное, света не было.
— И ступенек тоже!
— Но послушайте, вы ведь нашли план!
— Да, — сказал Артур, — нашел. На дне запертого шкафа в заколоченном туалете. А на двери табличка висела: «Осторожно, леопард!»
в статье ошибка, написано "два месяца", а по скриншотам от даты создания 08.26 до "вижу что исправили" - 09.04, прошло две недели.
Есть ощущение, что крайним никто не хотел быть, а выплату нужно как-то проводить, а она еще и крупная, от начальства не утаишь. А так задним числом закрыли, никто не виноват, никто не узнает, платформа то частная.
Нет, погодите, это очень серьезный инцидент. Я бы сказал, критический, за невыплату ББ обычно уязвимости сливают в паблик в следующий раз, что и будет с юмани. Автор привел доказательства, скриншоты и факты, и мне, как и остальным комментаторам непонятно - багрепорт игнорили 2 месяца, а потом починили и закрыли, с учетом того, что там есть ключ от аккаунта. Поэтому вы либо какую-то аргументацию приведите, чтобы было понятно что недоговорил автор, или распишитесь в том, что в следующий раз вместо репорта сольют базу.
Хорошо, что еще одну уязвимость не стал репортить. Должны же хоть какие-то козыри в рукаве оставаться.
Александр, а это не вас не так давно приняли в Екатеринбурге с весом на кармане и в компании, вроде бы, несовершеннолетней?
От человека с такими элементами биографии замечание про еще одну уязвимость, которая станет козырем, вполне можно расценивать как основание для заявления в МВД, и тут даже ФСБ-ные знакомства не помогут
Вот это поворот истории
совсем недавно, 4,5 года назад))
Очень смешно. Накинули обвинений на человека, прикрывшись «вроде бы», чтобы за клевету не отвечать, и все, достаточно оснований, чтобы человеку за репорт не заплатить?
Не, про наркотик это правда. Но это не делает аргумент менее потрясающим. Это ж какие возможности открываются в дискуссиях. Тебе кто-то возражает, а ты в ответ - "да что может в реверс-инжинеринге понимать человек, который ссыт в рукомойник!". И всё, оппонент раздавлен, посрамлён и унижен.
да что может в реверс-инжинеринге понимать человек, который ссыт в рукомойник!
Как говорится, "а вы знали, почему в химических лабораториях такие низкие раковины?"
Не, про наркотик это правда. Но это не делает аргумент менее потрясающим.
А что именно правда? Что приняли? Так у нас вроде как презумпция невиновности есть, то что приняли о виновности не свидетельствует. Так что аргумент даже еще более потрясающий, из серии "аппарат есть значит виновен".
Что приняли?
Что нашли при личном досмотре в отделе полиции, и что позже на суде признался в приобретении.
Эта песня будет вечно, чёрт возьми :D
Не употребляю я наркотики, короче говоря. И уж тем более ими не торгую. Возможно, для вас это будет новостью, но при достаточном применении спецсредств, вы и сами хоть в убийстве Кеннеди признаетесь, хоть в чём угодно ещё.
Если действительно интересно, то вот, где можно об этом почитать:
Раз: https://www.cnet.com/culture/features/how-russia-has-spent-a-decade-crumbling-online-freedoms/
Два: https://www.svoboda.org/a/30815307.html
argumentum ad hominem — «аргумент к человеку») — логическая ошибка, при которой аргумент опровергается указанием на характер, мотив или другой атрибут лица, приводящего аргумент, или лица, связанного с аргументом, вместо указания на несостоятельность самого аргумента, объективные факты или логические рассуждения.
Так в эту игру могут играть обе стороны: глава Сбера Герман Греф - гомосексуалист.
Судя по реакции представителей сервиса на эту статью в следующий раз так и будет, чуваки просто выстрелили себе в ногу. Дважды.
Ну а я просто на всякий случай проверю, не остался ли мой аккаунт у этих товарищей, вопрос слива базы у них какими-нибудь нехорошими людьми это судя по всему лишь вопрос времени.
багрепорт игнорили 2 месяца
А эта информация откуда?
Если я правильно понял всё изложенное, юмани не предоставили никаких пруфов, что про уязвимость им было известно до автора и не сообщили, когда именно уязвимость была закрыта.
Автор же, в свою очередь, не предоставил никаких пруфов, что уязвимость существовала до 26.08, что до 26.08 он пытался связаться с юмани (как заявлено в статье) и того, что уязвимость закрыли 03.09 или 04.09.
Вот логично. Тут нужны железные доказательства которые при этом убедят всех кто это читает И может найти еще такую багу. Ну или в следующий раз будет в лучшем случае статья на хабре с описанием как это эксплуатировать без некоторых важных деталей которые через пару дней появятся.
Это не ответ, а отписка. Но для полноты картины я дополнил статью вашим "ответом". Это просто насмешка какая-то.
Знаете, во "внутренних" документах можно написать всё что угодно, доказательства должны быть публичными или условно-публичными, например, автору репорта должны дать ссылку на репорт, который был ранее.
И закрыли вы уязвимость спустя пару месяцев (по вашим словам), и только после этого багрепорта, подозрительно максимально. Тут, конечно, сработать может презумпция невиновности, но всё же.
Это автору статьи: по поводу площадки, информация легко ищется в Интернете. Достаточно, указанный телефон на сайте, вбить в поиск и выдаёт эту компанию https://cyberpoly.ru/contact/, у них уже можно уточнить, относится эта площадки к ним или нет.
Получается, вендор должен вести внутри документацию с известными уязвимостями. Каждую уязвимость шифровать и закидывать в какой-то блокчейн. Шифровка не позволит прочитать инфу посторонним людям, блокчейн позволит предотвратить изменения задним числом.
Если нужно доказать известность бага, рассказываем автору, где считать инфу из блокчейна и даём ключ для расшифровки.
Да. Вот где не надо блокчейн пихают. Хотя тут и простое хэширование помогло бы: хэшируешь описание уязвимостей, публикуешь хэши, при необходимости раскрываешь
Полностью согласен. Кстати, это работало бы и для автора тоже. Если бы ему нужно было доказать, что он нашёл уязвимость 2 месяца назад, то уже 2 месяца назад он мог бы написать текст с кратким описанием и залить в любой комментарий на хабре его хеш.
Кстати, раз уж пошла такая пьянка, я тоже кое-что нашёл, и мог бы раскрыть уже сегодня, 24.09.2024, но не буду, а пока:
md5: 686a2cccec2d3a53fbfce858cb697a39
sha1: 96bfd73c21a28ebdbd5acbcc63732888da30da97
Я вас умоляю. Какой блокчейн? Какое шифрование? В лучшем случае в джире хранят, как тикет, или что там сейчас популярно и доступно для трекинга. А могут вообще в эксель файле на фтп.
Так пруфы будут или нет? 🤔
@alxdrlitreev ниже @yooteam пишет:
автор не приводит ответ площадки о том, что мы предоставили документальные подтверждения, что баг был найден до обращения, и подает информацию однобоко
Что скажете? 🤔
Я дополнил статью, можете убедиться в отстутствии каких-либо доказательств со стороны ЮМани, кроме как "поверь мне на слово".
Благодарствую 👍 Ну и комедия...
А вопрос про пруфы предназначается для @yooteam Будьте так любезны, удовлетворите интерес потенциальных исследователей
Вот ваш ответ с площадки. Поведайте публике, будьте добры, в каком месте здесь видны какие-либо доказательства кроме "trust me bro" от вашей ручной площадки?
мааааам, скажи что я самый умный!
подтверждаем, он у меня самый умный и красивый и вообще... верьте мне.
если на площадке был дубль, то должен быть и номер багрепорта - и его можно было показать человеку как доказательство.. и как минимум он должен быть меньше.
Площадка выступает независимым арбитром, и не является чье-то "ручной".
Есть такой господин @LukaSafonovкоторый имеет отношение к bugbounty и так же имеет, судя по доступной информации, отношение к "Инфосистемы Джет", которые имеют связи с ООО НКО "ЮМани". Совпадение? Возможно.
Я не работаю в "Инфосистемах Джет" с 2019 года.
Есть и другая особенность интересная. Это на подумать, особенно ФНС.
Парам-пам-пам.
А вот и "Независимый" арбитр потёр мой аккаунт с репортом со своей "площадки".
Обновил публикацию.
отношение к "Инфосистемы Джет", которые имеют связи с ООО НКО "ЮМани".
Ээээ… Любой крупный интегратор, который на рынке работает десяток лет, имеет связи с огромной кучей компаний. Тем более, джет это явно не дочка сбера.
прочитал как: и не является чье-то "сучкой"...
п.с. тут когда бренды уходили - я офигел от того какие бредны каким фирмам принадлежат.
А то что это дубликат, освобождает от уплаты? Тут любопытная философия:
Может быть несколько ситуаций, первая это когда эксплойт стал кому-то известен и он поделился им с друзьями и они начали активно писать в багрепорт с требованием вознаграждений и всем выдавать его нельзя, ведь они сговорились. Тогда выходит вы правы в таком случае.
Есть ситуация когда вам известен эксплойт, но он так же стал известен еще кому-то кто его обнаружил, но из-за недоверия он решит продать его, да есть риск что при продаже могут обмануть, но получается есть риск наткнуться и на дубликат, причем поиск багов и эксплойтов явно в промышленном масштабе. Эксплойт рабочий и уже не важно, дубликат он или нет. Для компании не выгодно что бы он был использован максимально и не важно является ли эксплойт дубликатом или нет.
Основной смысл багрепортов за вознаграждение это не то что бы вам находили эксплойты, а что бы их злодновременно не использовали против вас.
Мы уже подтвердили дубль на площадке, подтверждаем и здесь.
Дайте тогда ссылку на оригинальный баг репорт? С таким подходом доверия к вашей площадке нет
Правда, показали бы оригинальный баг-репорт с замазанным ником и дело в шляпе. Удивительные компании (хотя это дочка сбера, чего ж тут удивительного) - вопрос одним скрином решался.
дело принципа, они ниабязаны
Пользоваться программой багбаунти (а не выложить описание бага в паблик сразу) никто тоже не обязан. Это не принято да
Мне вот еще вопрос чисто теоретически интересен :). Допустим тот же баг но решили выплатить но автор:
С Казахстана
С США
С Украины (в порядке упрощения задачи в данном случае - допустим автор был бы женского пола и в соцсетях у него тихо)
С Белоруси
Счета есть только в банках страны прибывания.
Как бы это работало ? Заплатили бы? Или нет? С какими формулировками?
Аккаунт автора выпилили с площадки...
Вы не подтвердили, ваши слова что-то значат только для вас. Дубль покажите, с замазанной инфой, и вопросов ни у кого не возникнет.
Пока вижу только подтверждение того, что деньги в Юмани лучше не хранить
У Сбера пароль к Сбербанк Онлайн нечувствителен к регистру. Это треш и содомия с точки зрения безопасности, они чуть не вдвое снижают количество допустимых символов и, соответственно, сложность пароля. Сбер об этом знает больше 10 лет, но ничего не делает, более того, это преподносится как забота о пользователях, чтобы не путались.
А что они всех в приложение отсылают - это факт. У них не работает регистрация в web в Сбербанк Спасибо, но они с этим ничего не делают. Стандартная отмазка - поставьте приложение, там всё работает.
Он не просто "нечувствителен к регистру" - они специально отключили это.
Но просьбу отключить тогда и раскладку проигнорировали :)
Видел еще скриншот, как в контексте этой проблемы у сммщика сбера спросили «вы что, пароли не хэшируете?» и он ответил «нет». Конечно, он просто не понял вопрос, но менее смешной это ситуацию не делает
Вы ещё скажите, что они их не солят... /s
я подозреваю что куча глобальных крупных корпораций не хешируют и не солят... иначе откуда назойливый сервис по периодической смене паролей и при этом отказ в слегка модифицированных версиях старого пароля при смене... в свое время меня микрософт этим задолбал - фантазия по паролям закончилась в какой-то момент времени... ну и понятно что эта база логин-пароль для кого надо сильно облегчает подбор при нужде.
конкретно вот это уж точно ложная тревога. Ну, да, не чувствителен, а обязательно должен быть?
Обычно такие решения принимаются не просто так. Видимо, решили качнуть баланс в сторону юзабилити. Не забывайте, что сбером пользуется 110 миллионов человек, в том числе и бабушки, которые еле видят.
снижает количество возможных комбинаций? Да, снижает. Но есть 2FA, а если кому-то прям вот непременно хочется взломостойкости пароля - кто ему мешает использовать более длинный пароль со спецсимволами?
Судя по ответам yooteam, выплачивать деньги в этом случае было недопустимо, ведь это убыток для Юмани. А ведь фирма создана для прибыли, не для убытка! Фирма должна получать деньги, а не отдавать их!
Я не клиент сбера. Зашел как-то туда в отделение деньги поменять. Заставили заполнить заявку с ПД. Выхожу из их офиса, прошел 100м. Звонят мошенники ака "служба безопасности Сбербанка" — "Вы только что совершили размен денег в Сбербанке...". Ладно, пишу репорт как бы в настоящий Сбербанк об этом казусе. В ответ — решительно ничего. Пожал плечами, через месяц попросил жену закрыть ее счет в сбере. Ибо нефиг.
У них вот такая вот корпоративная культура. С этим конечно же ничего обычный юзер сделать не может. Только не выбирать их, вот и все.
Это же может быть диктофон (как сниффер на пин-код), поставленный под стол менеджеру, который передает голос, и ваши данные, что через глаз бога легко дальше размотать до телефона, адреса из паспорта и тп. Вряд ли это человек сливает, совсем тупо было бы.
справедливости ради - у меня тут тетушку мошейники по вацапу развели с липовой доверкой и ее отменой с установкой левого приложения минцифры итп... так вот Сбер перевод денег заблокировал и они у нее остались, а с ВТБ все сперли без звука... Так что не известно что лучше - куча отраженных атак или одна пропущенная...
Не, ну у них может релизный цикл полгода и этот баг реально уже был исправлен, но до прода просто еще не доехал. Но в в таком случае, до выкатки релиза, было бы не лишним репорт отклонить, мол уже исправлено.
Во времена Яндекс.Денег, когда еще Мария Грачева была CEO, баги исправлялись не то что за считанные дни, а даже за часы. Как нужно было испоганить уже выстроенные процессы, чтобы произошло то, что происходит сейчас, я не представляю вообще :D
Вряд ли дело в процессе: дело не в том, сколько времени нужно, чтобы поправить и применить конфиг для nginx (со всей бюрократией меньше часа).
Скорее всего такая конфигурация была умышленной. Возможно, после переезда морды с Яндекса поломались какие-то элементы, и требовалось, чтобы ответ от нод фронта (вот тот, который потом в window помещается) отдавался без проверки CORS.
Соответственно, задержка была связана не с правкой конфига, а с глубокой правкой фронта, чтобы он либо ходил по API, либо не разваливался с включённым CORS.
Ну и хотелось бы прочитать тут разбор, например, от @ilyakashlakov. Он, возможно, сам приложил руку к конкретно этому фрагменту.
Бритва Хэнлона — это принцип или практическое правило, которое гласит: «Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью».
Навеяло:
А Сбер за всё берётся смело, всё превращается в говно.
А если за говно берётся - то просто тратит меньше сил.
На 99% уверен, что это было не багом, а фичей доя фронтов (умышленно так настроили nginx). Поэтому ждали так долго не когда конфиг применится, а когда фронты у себя поправят и зарелизят.
Вполне допускаю, что им было известно про эту уязвимость, ведь они исправили не сразу после того, как вы написали им, а через 2 месяца, может кто-то создал ответ ещё раньше вас.
P.S.: если в браузере заблокированы сторонние cookie, то уязвимость не могла быть реализована
Наверное, ответственный сотрудник юсбермани представил, как он будет объяснять руководству, почему они должны заплатить 400 тыщ какому-то левому чуваку, который что-то нехорошее делал с их сервисом, и придумал, как этого можно не делать))
надо буде т что ли окончательно подчистить свою учетку и удалиться....удобство ю(Я)манек кончилось после разделения......
Подумайте - а надо ли?
У них есть некоторая особенность (может только у меня такое, не знаю) - мой счёт там налоговая не видит и не в курсе про него. Хотя у меня со времён яндекс.денег там была карта, и уже неоднократно перевыпускал, и даже так вроде какие-то небольшие деньги есть. И я как-то шарился в lkfl2.nalog.ru, там есть сведения о всех счетах в банках (в т.ч. закрытых) - и вот нашёл там и текущие счета, и даже древние, про которые забыл давно и они уже закрыты, но про яндекс и юмани ни слова там.
Есть мнение, что ФССП именно оттуда берёт сведения, где какие счета у граждан. Так что иметь неучтённый счёт может когда-то пригодиться.
Видят они его, у меня тоже счет в Яндексе то отображается, то нет. Не помню, то ли с каким-то фильтром связано, то ли с фазой Луны, но в принципе счет им виден.
Не знаю видят его в налоговой или нет, но то что ФССП или не видит, или не хочет видеть, или не хочет/не может его арестовывать - это факт. У меня больше года были проблемки с ними, абсолютно любые счета моментально арестовывались, даже в никому неизвестных нонейм банках, а юмани работали без проблем, и были по сути единственным способом нормально пользоваться деньгами. Возможно за год, с тех пор как я своими проблемы решил что-то изменилось, уже не проверить) Но сомневаюсь.
Так ведь там есть 2 вида счета - их собственный, который в принципе никто никогда не увидит, т.к. он вам не принадлежит
И счет с полной идентификацией, который уже будет вашим "дебетовым", на него зп получать можно, все дела
О каком счете речь? Неужели не видят ваш собственный?
У меня идентифицированный, не знаю как его можно еще более идентифицировать. Собственно иначе он подходит только для каких то совсем мелких переводов. Пластиковая карта когда заказываешь приходит с реквизитами для бухгалтерии на бумажке, если тебе надо зарплату на нее получать. Но они все равно мутные, ну то есть с пейонир например на юмани не вывести было, когда пейонир работал у нас. Там как-то это по хитрому, и у тебя действительно нет своего как бы счета прям как в банке, перевод делается им на счет с пометкой на какой кошелек деньги. А прям счет чтобы у тебя был номер счета свой личный (не кошелька), там никак и невозможно получить.
ес более удобные сервисы.....а то что счет в налог не отображается это вряд ли...сбер известен своей наплевательской методикой воровства денег не подлежащих списанию, удержанию без объяснения начисленных премий ....как там шутят история сбербанка идет с 1841 года, а то что вас кинули со вкладами в 91-92 это была другая организация....
Среди используемых мной банков только у Юмани лимит на СБП 3500руб в день.
Клёвая была штука пока была не Сбером. А теперь смысла не вижу. И похоже что убили намеренно.
После такого скотства со стороны компании, становится даже жалко, что уязвимость не была слита в открытый доступ...
ВВ программа легко гуглиться. Непонятно, почему вы пишите, что не смогли её найти. По срокам у вас тоже несостыковочка происходит. Ваш вопрос был решен через 2 недели, а вы пишите про какие-то два месяца
«Окей» подумал я. Уязвимость критическая, исправить её легко, в любой нормальной организации её исправят за считанные часы — не нужно иметь пять высших образований и IQ выше 300 чтобы поправить header'ы CORS или просто их убрать (при их отсутствии будут применяться стандартные политики безопасности, которые были бы достаточными и при этом никак не сломали бы работу сервиса).
У вас очень упрощенное представление о работе ИТ отделов финансовых организаций. Как правило там нет ролинг релизов, зато есть несколько этапов согласования и аудита. Поэтому релиз раз в квартал это прям очень хорошо, раз в полгода - нормально. Имел опыт работы в таком месте - подготовка документации на релиз начиналась недели за три, сам релиз новой версии - это полностью занятый день всей команды, иногда захватывая вечер. Хотя казалось бы, что там такого - несколько серверов обновить.
Так что в принципе действительно возможен сценарий, что об уязвимости было известно, но решили что "не настолько критично чтоб исправлять хотфиксом, войдет в следующий релиз."
Но опять же ничего не говорит и о том что разработчики не внесли ее задним числом в джиру, чтоб KPI не просел.
Из статьи и комментариев — очень похоже на какое-то мошенничество со стороны фиолетовых.
@alxdrlitreevНе думал на них в ЦБР обращение написать? Когда в отношении меня Банк Тиньков люто нарушал ФЗ в области незаконного/принудительного сбора биометрии и принудительного навязывания рекламы, я на них и в ЦБР по одному эпизоду накатал и в ФАС по второму. Результат был.
Теоретически можно, безусловно, но смысл? На что жалоба? На дыру? Так её уже закрыли, поздно пить боржоми. На нечестное отношение к участником багбаунти? Так это не часть финансовых услуг, попадающих под регуляции.
В конкретном случае на кону стояла репутация Юмани и ноунейм площадки по багбаунти. Общественность (сообщество Хабра) просили с них прозрачно подтвердить дубликат отчета, либо предоставить доказательства и этого не было сделано в колосальный ущерб своим репутациям. Подозрительно, не то слово.
IMHO, все это выглядит, как сговор. Твое обращение в надзорные органы имело бы веские причины, как минимум общественный резонанс, а там бы уже твое обращение с замечаниями переслали в компитентные органы для проверки или отказ. И если бы господа оказались чистые - ок, в ином случае...
Ситуация, которую разыгрывает гражданин Литреев очень похожа на вымогательство: публикация на популярных площадках, написывание в личку сотрудникам компании, попытки призвать коммюнити и т.д.
Принимая участие в программе багхантер принимает и правила программы:
Мы выплачиваем вознаграждение только за первый полученный отчет, содержащий все необходимые данные для воспроизведения уязвимости. Все последующие отчеты, содержащие информацию об этой же уязвимости считаются дубликатами и вознаграждение за них не выплачивается. Отчет может дублировать как отчет другого исследователя, так и внутренней команды безопасности. Также дубликатом может считаться отчет, содержащий информацию о векторах атаки, которые исправляются в результате работ по другому отчету.
Теперь о самой уязвимости: автор любитель находить "гром баги" и хайповать, ок. Может это личные качества, может вещества, мне это неизвестно, но поскандалить автор явно любит.
«Окей» подумал я. Уязвимость критическая, исправить её легко, в любой нормальной организации её исправят за считанные часы — не нужно иметь пять высших образований и IQ выше 300 чтобы поправить header'ы CORS или просто их убрать (при их отсутствии будут применяться стандартные политики безопасности, которые были бы достаточными и при этом никак не сломали бы работу сервиса).
Зачастую в крупных компаниях исправление бага зависит не от скиллов прогеров, а от заафекченных в фиксе систем и процессов. Ну и про саму багу автору написали в комментариях в его же канале: https://t.me/litreevsays/4815
Ну и вишенкой на торте:
В феврале 2022 года, с началом вооруженного вторжения России на территорию Украины осудил действия российских властей, а также начал оказывать поддержку Вооруженным Силам Украины жертвуя снаряжение, дизельные генераторы, автомобили и снаряды. В январе 2023 года Литреев опубликовал фотографию снаряда калибра 155 мм. с надписью «Привет от Литреева» на корпусе.
То есть он приходит, и просит/берет деньги у Российской компании чтобы купить потом снаряды для убийства россиян?
Ну и вишенкой на торте
Это вы зря написали. Весь образ негодяя испортили.
Я так понимаю, раз отмазка с дублем не прокатила, в ход пошел ad hominem? :)
Странно. Когда люди жалуются, что ничего не могут поделать со своей властью, так как не хотят присесть на бутылку, и вообще у них лапки и они не хотят трогать политику, но вообще война - это плохо, но они никак не могут на это повлиять - то это ок. А когда человек что-то пытается делать с творящимся беспределом - то это не ок. Шаблон растягивался, но держал.
Это все очень интересно, конечно, а по делу есть что добавить? Ничего из перечисленного вами никак не опровергает мною сказанного в статье и никак не отменяет некорректного поведения компании. Или сказки про "дубль" не увенчались успехом и пришлось прибегнуть к методам распространения чернухи?)
Но давайте согласимся, что это добавляет определенную нотку пикантности в сложившийся ситуации и вечер перестал быть томным - в дело пошло влияние на эмоции.
Безусловно. Предлагаю сюда приплести еще мои остальные четыре сфабрикованных уголовных дела и наличие родственных связей в Украине. И вот я уже не участник баг-баунти, а карикатурный злодей, подло сообщивший об уязвимости. А ЮМани — героически отказала в выплате врагу народа. Как говорится, не наебали, а стратегически ввели в заблуждение. Во 👍
Ну так с таким послужным списком, платить вам - преступление граничащее с преступной глупостью. Или без закладки не разобраться?
Преступление? Says who? Есть решение суда какое-то? Или закон?
платить вам - преступление
Почему бы тогда не сказать об этом напрямую? Ну и какие статьи УК это нарушит? Или хотя бы пункт правил багбаунти-программы?
Если человек еще не в списке экстремистов, террористов, и прочих отмывателей по 115-ФЗ, то пока все ок.
Другой момент, что получить обвинение 205.1 УК РФ (финансирование террористической деятельности) можно сделав перевод на действующие (легитимные) счета. То есть сегодня отправляем деньги Васе, завтра его вносят в список по 115-ФЗ, а потом всех его контрагентов берут за мягкое место.
Однако, вся эта ветка дискуссии есть оффтоп, потому что решение о невыплате вознаграждения основывалось на другой причине.
Однако, вся эта ветка дискуссии есть оффтоп, потому что решение о невыплате вознаграждения основывалось на другой причине.
На самом деле неизвестно, на чём оно основывалось.
Если это действительно был дубль -- что может быть проще, чем показать внутреннюю документацию по уже закрытой уязвимости? Зачем вместо этого приплетать вещества и снаряды?
платить вам - преступление
Вы знаете, что мы Вам скажем:
И нет, посты в интернетике доказательствами не являются — их слишком просто подделывать.
Например:
уже насушил достаточно сухарей?
Так тогда стоило отказывать именно с основанием что баг да рабочий, денег не дадим потому что мы российская контора а вы поддерживаете ВСУ. По крайней мере вопросов было бы поменьше существенно. А то что сейчас - сначала "дубль" потом "несовершеннолетняя"(ей случайно не 17 лет и 11 месяцев было?) теперь украина... дальше что всплывет? Участие в истории с пейджерами ?
Ну какой же дурачок, мог просто очистить кошельки всех, кто по глупости попал бы в его фишинг)
Принимая участие в программе багхантер принимает и правила программы: <...> То есть он приходит, и просит/берет деньги у Российской компании чтобы купить потом снаряды для убийства россиян?
Неужели в этих правилах (я не сумел их выгуглить) есть пункт "Российская компания платит вознаграждение только тем исследователям, которые поддерживают убийство украинцев"?
Мы выплачиваем вознаграждение только за первый полученный отчет
И где он? Его кто-то предъявил? Доказал его существование? Пока мы увидели "ссылку на внутреннюю документацию" без какой-либо конкретики, а не репорт.
про саму багу автору написали в комментариях в его же канале: https://t.me/litreevsays/4815
По ссылке просто пост автора об уязвимости, по сути дубль этой статьи. Как из него следует, что багу он нашел не сам, а ему в комментариях ее слили?
То есть, чтобы обелить свою репутацию, контора нагнала сотрудников, которые стали выливать помои на автора бага, лайкать правильные комментарии и дизлайкать тех, кто просит подтверждений?
Вы такую пишете тупость. По вашей логике, этот "враг народа" должен был воспользоваться этой уязвимостью, вывести все деньги россиян и перечислить их на другую сторону. Знаете, иногда, "патриотизм" вредит стране, особенно, если этот патриотизм на ура.
Спасибо, после подобного комментария становится ясно, что товарищ видимо правду написал.
Очевидно правда, что не Сбер решил кидать айтишника на 400к, это для них не деньги. А в случае проблем здесь уже паслось бы несколько юристов и нормальных менеджеров по связям с общественностью.
Но похоже какой-то очень средний (по уму и позиции в иерархии) безопасник договорился со "своей площадкой" и вот они пытаются заработать себе небольшой гешефт кидая отдельных багхантеров. И вот подобные попытки перевода стрелок это как раз уровень "очень среднего" безопасника и его друзей, у которых нет денег на нормальных юристов.
Ничего себе, вот это стена) После невыразительных ответов от юмани и багтрекера, внезапно, появляетесь вы, с очередным обвинением в преступлении и приплетением политики. Если не секрет, сколько потребовалось совещаний и в каких комитетах, чтобы сочинить такой убийственный ответ?)
Ситуация, которую разыгрывает гражданин Литреев очень похожа на вымогательство
Ситуация, в которой находится Сбер, не просто очень похожа, а прямо-таки орёт о вопиющей некомпетентности (как минимум разработчиков).
Это все конечно очень интересно, но к сути вопроса не имеет никакого отношения. То что вы делаете называется демагогией
Суть вопроса легко показать следующим примером:
Компания проводит лотерею. Условия - есть несколько выигрышных билетов, кто выиграет и успеет первым забрать приз, тот молодец. Человек в ней побеждает. Приходит за выигрышем, а ему говорят: - Простите, но оказывается кто-то другой вас опередил
Что думать человеку? Само собой он захочет прозрачности. Например, показать, как крутили барабан и какой билет вытащили. Необязательно показывать кто именно победил, нужно только показать что билет и правда был выигрышный и что за ним действительно уже приходили.
Ну а то, что человек вчера вечером жену побил, у ребенка мороженое отобрал или на снаряды деньги собирал в рамках обсуждения лотереи значения не имеет
Выплатитите ему его деньги, а уж на какие ***котики он их потратит не ваше дело... Либо докажите пруфами, что по всем правилам он не получает вознаграждение.
(не утверждаю, что этот человек употребляет, может быть, он не имеет зависимости)
Если критическую уязвимость исправляют два месяца, значит два месяца ей кто-то пользовался ;)
Откуда "служба безопасности" ещё будет знать, кому звонить.
Сторонние исследователи - НЕ ваши сотрудники, Сбер! Писать им, что это "дубль", даже если предположить, что это действительно так - высшее неуважение и глупость, и показывает ваше отношение к людям, как барина к батракам, - неважно, работает он у вас или нет. Человек нашел уязвимость, потратил время, чтобы ее изучить, написал эксплоит для проверки. После этого не пошел куда-то "налево", чтобы продать ее за гораздо большие деньги тому, кому это нужно, а проявил настойчивость и связался с вами. Правила хорошего тона требуют, чтобы вы вознаградили человека, нашедшего уязвимость, если вы не хотите, чтобы в будущем на вас просто забили или хуже того - отправили репорт об уязвимости не к вам в компанию, а туда, где за нее хорошо заплатят. Или не подмочили вашу никудышную репутацию в медиа, как это и произошло в результате. Это элементарные вещи, как 2+2. Яндекс это понимал, вы же просто глупая бюрократическая контора "эффективных менеджеров".
Не пользуюсь никакими услугами любых компаний Сбера, уже давным-давно. Т.к. суть этой компании и ее культура были всегда налицо.
Как только начнутся оплаты дублей, так баг-репорты перестанут слаться по одному. Нашелся баг? Вся деревня разом зарепортила. Ну просто так совпало, что толпа людей одновременно ее нашли и даже не договаривались, чтобы побольше денег урвать
Я не топлю за или против Сбера или багхантеров, просто это глупая практика "платить всем за одно и то же". А вот пруфать, что кто-то человека уже обогнал нужно
Интересно, а можно легально продать уязвимость какой-нибудь пентест компании? По аналогии с продажей кредитов коллекторам
Поражает на самом деле ни то что они не выплатили. А то что они не понимают для чего делается баг баунти программы.
По секрету, они делаются чтобы публично показать свободным искателям багов (а не конкретно этому), что процесс получения вознагрождения прост и понятен. Прозрачность процесса - самая важная часть всего мероприятия по привлечению белых хакеров.
В текущем же случае, когда он не прост и не понятен, это не только фактически отменяет баг баунти программу, но и делает её эффект отрицательным, хуже чем было бы без неё. Формирует у искателей багов понимание, что изыскания нужно монетизировать по другую сторону барикад.
Для чего это делается - не понятно. Впрочем сама логика по которой существую монструозные около государственные структуры, полагаю, загадка далеко ни для одного меня.
Интересно, сколько на черном рынке бы заплатили, подозреваю сумма в 7-и значных цифрах.
Это ведь огромную базу за месяц можно собрать, если закупить с таргетингом копеечную рекламу которая открывается на фоне (кликандер), от пользователя даже действие не требуется.
А вот и площадка @bugbountyru(кстати, напрямую аффилированная с самим ЮМани, как выяснил хабровчанин @gmist— спасибо ему) молча удалили мою учётную запись c отчётом об уязвимости, будто их никогда не существовало. Сохраненные в Password Manager'е пароль и email при попытке входа теперь возвращают ошибку, а попытка восстановить пароль говорит, что такого пользователя больше не существует. Очень ответственный, профессиональный подход 👍(нет)
Аккаунт заблокирован в связи с нарушением правил:
Запрещено раскрывать уязвимости или делиться какими-либо подробностями без письменного разрешения команды безопасности ЮMoney.
А у меня есть разрешение. Просто это моя внутренняя документация, показать не могу вам, ссори.
Так вы же уже ее пофиксили, это уже не уязвимость, получается.
платформа №1 в РФ для невыплаты наград за обнаружение уязвимостей сервисов и приложений.
Че-то в голос порвало. Напоминает форумы из нулевых с админами-школьниками. Где в любой неприятной ситуации — бан, ведь админ всегда прав. А если не прав, то смотрите пункт 1. =)
Я далек от всей этой темы, решил посмотреть что это за "Платформа №1 в РФ для выплаты награды за обнаружение уязвимостей сервисов и приложений". На сайте это платформы нет раздела, как и информации, в принципе, о компании, которая оказывает услуги выплаты и так далее. Вы, вообще, кто? Юридическое лицо, скорее всего, или может ИП? Вы действуете на основании чего? У любой структуры есть Устав, на основании которого принимаются решение и ведется деятельность, даже у некоммерческих организаций есть Устав. Кто возглавляет организацию, кто уполномочен принимать решения? Да на самый банальный вопрос - на чье имя (и на какой адрес) отправить письмо почтой РФ невозможно найти ответа. Как Вы сами думаете, насколько такой подход говорит о уровне платформы?
Я ж молчу, что вы оказываете некий сервис (где оферта?) и выплачиваете финансовое вознаграждение(где реквизиты?), и просто 0 документов на сайте.
А самое смешное заключается в том, что за баг баунти скрывается Юр лицо ООО «Киберполигон» ИНН: 7743323251, на их сайте указан тот же телефон , по выписке из ЕГРЮЛ владельцем и директором является @LukaSafonov.
А самое смешное заключается в том, что за баг баунти скрывается Юр лицо ООО «Киберполигон» ИНН: 7743323251, на их сайте указан тот же телефон , по выписке из ЕГРЮЛ владельцем и директором является @LukaSafonov.
"Чует моё сердце что мы на пороге грандиозного шухера..." ТМ
Может это биг баунти кого надо биг баунти, а тс раскрыл схему по (внутреннему) распилу?
Или эта компания создана только показухи.
Или вообще под вывеской ООО «Киберполигон» работают какие нибудь хакеры?
Как же вы смешно выглядите. Уж лучше бы ничего не писали, чем демонстрировать окружающим свой внутренний мир
Ужасно бесит такое отношение. Что ЮМани, что эта конторка bugbounty заслуживают отдельного котла в аду.
Спасибо, что поделились.
Да, крупнейший банк и так несолидно себя повели. Какие-то наивные оправдания, нам об этом уже давно известно и т.д.
А по факту - «чушь, муть и компот» (©️). Как, ну скажите, как можно, якобы зная о такой серьезной уязвимости НЕ ПОФИКСИТЬ её столько времени?!? Серьезно? Ведь сами себя изобличают - мол знали давно. Так а почему в тот же час не пофиксили? Или там что, нужно было всю инфо-систему с нуля переписывать?
Да, очень несолидно…
Намерения ваши явны, это сугубо деньги, ни о какой заботе о средствах людей не может быть и речи, ваши действия направлены против Российских компаний. Немного погуглив можно узнать и про паспорт Украины, а также бизнес и вид на жительство в Эстонии. А ещё про сокрытие двойного гражданства и обвинения по ст. 228 УК РФ.
Так направлены против, что аж репорт им направил и подождал, пока исправят. Всё сходится, так и было.
Уточните, на всякий случай, какое отношение бизнес и документы имеют к описанным в статье действиям ЮМани и найденной уязвимости? На кого это рассчитано? Вы действительно думаете, что вы сейчас зайдете в комментарии, скажете "да у него бизнес в Канаде и паспорт Германии" и всё, это каким-то образом магически отменит уже состоявшиеся и описанные в статье факты? Да и с каких пор наличие паспортов/бизнеса/уголовных дел/домашних животных/иностранных гражданств хоть как-то характеризует автора статьи об уязвимости?
Для любопытствующих — паспорта Украины у меня никогда не было, хотя я, может, и не отказался бы. Обвинений у меня достаточно еще с времен борьбы с блокировками РКН, суммарно 4 или 5 уголовных дел, я уже не считаю, к тому же, ни по одному из них я так и не был осужден, не говоря уже о том, что сами уголовные дела были признаны политически-мотивированными чуть ли не десятком правозащитных организаций. Но даже это не имеет никакого значения, потому что это никак не относится к обсуждаемой здесь теме — наличию уязвимости и отсутствию прозрачности.
т.е. по Вашему это разрешает компаниям так себя вести?
Намерения ваши явны, это сугубо деньги
Ну так для этого и существуют bug-bounty программы, разве нет?
Спасибо за статью. Просмеялся от души с поведения сурьезной и конкретной компании в направлении информационной безопасности. Очень ответственный подход. Сильно
Я в шоке
Намерения ваши явны, это сугубо деньги
а Вы предпочитаете работать бесплатно?
Как один из багхантеров могу смело сказать, что неправ именно автор статьи
Площадке нет резона работать совместно с компанией ради того чтобы обставить хантера на пару сотен тысяч рублей -- это просто невыгодно для репутации как компании, так и площадки. Дополнительно отмечу, что автор при сдаче отчета согласился с правилами сдачи - и нарушив их, естественно был заблокирован с площадки.
Добавлю, что при публикации уязвимостей в 99,9% случаев выплаты не будет.
Ну и никто так-то и не обязан демонстрировать отчет - приведите обратное.
А можно уточнить, в чем именно заключается репутация этой буквально никому не известной площадки? В лучшем случае, у них нет репутации никакой. В худшем — исключительно отрицательная. Да и выше уже выяснили, что связь прямая/косвенная между площадкой и компанией есть.
Что касается репутации компании и "невыгодности" — невыгодно отмалчиваться и скрываться за абстрактными неверифицируемыми формулировками. Сколько раз я репортил уже уязвимости различным компаниям уровня FAANG — ни разу ни у кого не было проблем ни с выплатами, ни с подтверждением того, что репорт действительно дублированный.
Что касается публикации — вы, по всей видимости, не прочитали статью полностью. Там неоднократно упомянуто, что ничего и нигде не публиковалось, пока уязвимость не была закрыта.
1 абзац - bugbounty.ru является одной из трех лидирующих площадок по багбаунти в РФ. Это не секрет. Да и какая связь между компаниями? Через то, что владелец работал в Инфосистемах Джет, а те связаны с ЮМани? Это заявление смехотворно любому человеку, знакомому с российскими ИБ-компаниями. Видимо, вы таковым не являетесь, иного обьяснения не нахожу
2 абзац - В чем, по вашему мнению, заключается выгода? Деньги не заплатить?)
3 абзац - Вы в любом случае не имеете права на публикацию без согласования с программой.
3 абзац - Вы в любом случае не имеете права на публикацию без согласования с программой.
А можно развернуть этот пункт? Скажем:
есть некий white hacker
он нашёл баг
но баг оказался дубликатом
платформа ему отказала
он обиделся на платформу и опубликовал все данные уязвимости в масс-медиа
Это были вводные. Вопрос: он не имел право их опубликовывать потому, что в этом случае его аккаунт могут прикрыть (думаю ему плевать уже)? Или есть статья в законах, запрещающая публикацию таких данных? Просто "не имеете права" звучит словно статья и срок.
А можно по поводу пункта 1 дать чуть больше информации о том, как bugbounty.ru вдруг внезапно стал лидирующей площадкой? Ну так, просто интересно. Ну, допустим, есть внесение в Википедию информации 28 ноября 2021 как, цитирую, "первую и единственную в РФ платформу для поиска уязвимостей". Но что еще нам известно об этой лидирующей площадке? Гугл дает весьма немного ответов (если мы отсеем однотипные промо-статьи с одинаковой стилистикой). Допустим, зайдя на тот же bi.zone мы видим вполне исчерпывающую информацию - контакты, политику конфиденциальности, внятную политику раскрытия информации об уязвимостях. Все как у больших. Или, к примеру, вопросов к Standoff365 тоже немного, плюс багаж Positive Technologies как бы внушает доверие. Но зайдя на bugbounty.ru можно ненароком подумать, что это, вы таки меня извините, какой-то постыдный скам. Да, топикстартер - личность неоднозначная. И благодаря комментам мы о нем знаем более чем достаточно, но вот о bugbounty.ru и Киберполигоне знаем не так много. Допустим, микропредприятие в пару человек - это совсем не повод сомневаться (для сравнения bizon - под 500 человек, у Позитив техноложис и вовсе под 1000). Допустим, занятная финотчетность компании - это тоже не повод для сомнений (после первого полного налогового года научились оптимизировать). Но если некоторые выставляют претензии к топикстартеру за его политические маневры, то в ответ можно спросить - а какого черта и Бизон и Позитивы находятся в санкционном списке ЕС и США, а Киберполигон нет? Не засланный ли это казачек?
Вообще не понял, каким боком моя политическая позиция имеет хоть какое-то отношение к обсуждаемой проблеме прозрачности платформы.
Вообще, речь не про то, о ком и что можно где-то прочитать, а о соотношении декларируемого с реальными действиями. Всё, что я когда-либо заявлял публично — полностью соответствует моим дальнейшим действиям. И взгляды мои вообще не секрет (в той же вики всё описано), и огребать я за них тоже готов, в случае необходимости. Но ни мои взгляды, ни моя личность не являются предметом дискуссии здесь — мы говорим о найденной уязвимости и конкретных действиях конкретных компаний.
И вот тут уже совсем другое дело. И оно напрямую касается площадки, которая декларирует себя как "независимый арбитр" и "прозрачная платформа". К ней большие вопросы, как минимум потому, что её действия явным образом расходятся с заявленными ранее приципами.
Меня тоже смущает площадка. И тут я человек темный, не в теме. Но если тут обсосали со всех сторон, простите за тавтологию, одну сторону, то и о второй стороне хотелось бы подробностей, о которых невозможно молчать. Банально для того, чтобы понять - кто это такие, какие именно заслуги имеют и насколько им можно доверять. А то пока выглядит не очень убедительно и странно. И чем дальше, тем "страньше". А кто об этом может рассказать лучше, чем человек, который назвал себя "одним из багхантеров"? Явно сейчас приведет сотни положительных примеров на миллионы миллиардов выплаченных денег, что как бы должно быть ожидаемо от "лидирующей площадки".
это просто невыгодно для репутации как компании
Складывается ощущение, что репутация для конкретно этой компании просто пустой звук.
Все минусы как раз под текущей статьей. Интересно, не находите?
А в чем проблема? Из этого репутация и складывается, в общем-то. Есть конкретный кейс, есть показательное отношение площадки к этому кейсу, её действия. Есть публика, которая это всё соответствующе оценила. Или, скорее, не оценила.
Ну дык с такими то комментариями я не вижу в этом ничего удивительного. Человек ведущий этот аккаунт похоже не имеет ни малейшего представления о том, как нужно работать с mass media. Впрочем возможно там и нет такого человека, отсюда и хабра-суицид.
Я привык такие статьи сразу сохранять локально себе через SingleFile. Потому что приходишь через пару дней комменты почитать, а статья тю-тю. В черновиках. А иногда и автор удалён бывает (надеюсь не физически)
Объясните, пожалуйста, как работает данная уязвимость. Получается, что есть апи сервер, который ответит любому запросу, невзирая не Referrer. Чтобы получить данные от апи нам нужна кукис. Где нам взять эту кукис? Каким тут образом тут может помочь встраивание оригинального сайта в ифрейм, как упоминалось выше? Эта уязвимость помогает нам как-то утащить кукис? А если мы уже утащили кукис, то какая разница, что там с CORS у апи сервера, мы можем через тот же curl подставить какой угодно Referrer.
Прочитайте, пожалуйста, статью полностью. Потом можно задавать вопросы. Речь идет не про API, а про дырявый фронтенд, в которым некорректно настроен CORS, что позволяет использовать присвоенный ему cookie через cross-site и получать контент страницы фронтенда от имени авторизованного пользователя. А в контенте страницы содержится чувствительная информация и токены.
В статье это все детально описано.
Я потому и спрашиваю, что прочитал статью, но мне непонятно каким образом кукис оказывается у сервера, если мы пошлем запрос с другого домена. Каким образом должна быть установлена такая кукис, чтобы она работала для всех доменов?
Если сервер A говорит в ответе на Preflight-запрос с нашего домена example.xyz что-то вроде "дорогой example.xyz, я принимаю от тебя запросы и ты можешь сопровождать их данными для авторизации", то никакой проблемы в этом нет. Браузер по-умолчанию сопроводит такой запрос cookie, принадлежащими изначальному серверу A, потому что это было разрешено политиками CORS этого сервера.
Нам не нужен при этом прямой доступ к cookie, нам достаточно, что браузер их "положит" в отправляемый нами запрос сам.
Сделаю важную ремарку, это будет работать не во всех браузерах. Например, Safari по-умолчанию запрещают передачу third party cookie. А вот в Google Chrome пока ситуация обратная и для всех Chromium-браузеров уязвимость ЮМани была вполне себе эксплуатируемой без каких-либо доп. манипуляций со стороны пользователя.
Есть злоумышленник и жертва. У злоумышленника есть свой сайт, а у жертвы аккаунт на юмани.
Жертва пользуется юмани, а поэтому у жертвы в браузере есть кука. И вот жертва попадает на сайт злоумышленника, который через js отправляет запрос на юмани в формате "я на левом сайте, хочу получить данные своего аккаунта на юмани, можно ли этому сайту доверять"? В нормальной ситуации сервер скажет "нет, у меня нет в списке доверенных этого левого сайта, отказано" и браузер не будет в запросы подставлять оригинальную куку. В этой же ситуации сервер дырявый и говорит "да, все ок, давай сюда куку и я все тебе выложу".
Браузер разрешает использовать куку юмани даже на сайте злоумышленника и сделать запрос и вуаля - злоумышленник получает ответ от апи юмани со всей информацией. И это притом, что жертва будет даже не в курсе, что вообще что-то произошло
а про дырявый фронтенд, в которым некорректно настроен CORS
<зануда>Я конечно понимаю, что CORS напрямую связан с фронтом, но всё же это HTTP-заголовки, которые выдаёт backend.</зануда>
Да, спасибо ответившим. Понял.
Обновлено 18.09.2024:
После выхода публикации на Хабре, вышеупомянутая площадка Bugbounty.ru (кстати, напрямую аффилированная с самим ЮМани, как выяснили хабровчане) молча удалили мою учётную запись c отчётом об уязвимости, будто их никогда не существовало.
Надеюсь, этот аккаунт они не удалят. И вообще интересно, будет ли какое-то развитие истории с их стороны?
Вопрос в воздух: Мне вот интересно... Понимают ли эти люди последствия такого решения? Киевстар помнится, лет 6-7 назад кого-то тоже так с багбаунти прокатил, возможно даже на Хабре об этом читал...
Понимают ли эти люди последствия такого решения?
Понимают, никаких последствий не будет. Вообще. Совсем. В России не существует института репутации.
МТС сливает смски каких-то неправильных политиканов? Ор несколько дней, демонстративное разрезание симок, все уйдем в билайн. Это как-то отразилось на МТС? Нет. Кто-то вообще помнит этот эпизод? Нет.
Тиньков говорит что-то там про кого-то там? Ор несколько дней, демонстративное разрезание карт, все уйдем в Сбер. Это как-то отразилось на банке? Нет. Кто-то вообще помнит этот эпизод? Нет.
Греф быканул на таксистов в аэропорту? Ор несколько дней, демонстративное разрезание карт, все уйдем в ВТБ. Это как-то отразилось на банке? Нет. Кто-то вообще помнит этот эпизод? Нет.
Чем больше живу, тем больше убеждаюсь, что играть в подобные игры с корпорациями не стоит. Добра в свой адрес они не оценят.
Знакомо. Кажется я там же оставлял репорт о баге в ВК. И мне так же ответили что о баге знают и это дубль заявки. Я просто забил
Вы просто не зарегистрировались в программе российской федерации белых хакеров )
Если вы из лагеря справедливости , то с опытом крэкинга странно что не знаете базовых шагов в случаи таких '***...' на той стороне. Некие известные шаги так или иначе бы заставили их заплатить за работу и потраченное время.
Узнаю подчерк Сбера. Когда работал там, была у них программа поощрения идей. Как правило, отправленную идею немного переделывали и присваивали "своим".
Потрясающе. Нет, не сама статья, хотя она тоже интересна, но комментарии - просто огонь. Вот ради этого я и читаю хабр.
Автору - дальнейших успехов, видно что человек хороший, ну а сбербанк он и есть сбербанк, тут сказать нечего
В следующий раз уязвимость юмани будет в паблике
Всего-то
У меня был похожий кейс. Только уязвимость совсем тупая и совсем критичная.
Выяснилось мной в эксперементальном порядке, что в СберОнлайн для мобильного нет ограничений по заказу одноразовых кодов. Ограничения на ввод по каждому отдельному есть, а на число заказов самих OTP отвалился или забыли добавить. Ситуация очевидная: заказав достаточное количество кодов, рано или поздно попадешь в СБОЛ человека, достаточно знать только номер карты. После репорта через пару дней ответили, что эксплуатация закрыта "дополнительными проверками", намекая на silent block. После того, как я заявил, что никакого silent block нет (опять же отвалился он или не было изначально - не в курсе) через пару дней заметил появление лимита на заказ кодов. Обратился в поддержку площадки BI.ZONE, на первых этапах вместе со мной возмущались что это не круто и обещали разобраться. Пруфы я скинул, все скрины есть, можете забанить на площадке, все равно туда больше ни ногой) С 4-го сентября игнор и от площадки и от вендора
Очень интересное событие в котором сплелись самые незаурядные участники:
Известная платформа https://bugbounty.ru/;
СБЕР - Крупнейший игрок фин.сектора
Дочка СБЕРА: ЮMoney - клиент платформы
Баг хантер - самой неожидаемой репутации для платформ bug bounty.
В России ожидали развития платформ и программ bug bounty, но реальность оказалась другой:
Платформа выставила себя не то, что как не готовый провайдер чувствительных услуг в сфере ИБ, а как пассивный и не квалифицированный в своей области "блокнот" для записи багрепортов и произвольного их удаления;
ЮMoney прислали отписку, да ещё и критичность уязвимости понизили;
Баг хантер с неудобной репутацией вежливо тыкает фактурой. А в ответ получает по меркам экспертов сообщества "полную шляпу", блокировку аккаунта с удалением материалов с платформы.
И как бы всё? Какой итог для участников? Что видно?
Отсутствие выстроенных процессов взаимодействия платформы с неудобными участниками;
Отсутствие выстроенных процессов управления рисками, анализа воздействия на бизнес у платформы и Дочки СБЕРА;
Отсутствие со стороны платформы требований к клиентам в части автоматизации обмена информацией, управления идентифицированными уязвимостями, управления коммуникациями;
Крайне вероятно, что затронет не только этих участников:
1. Высокие репутационные риски как программы баг баунти в России, так и платформы https://bugbounty.ru/
Программа баг баунти совсем сырая. Другим платформам возвращать доверие будет крайне тяжело;
Неудобные участники программы с высокой квалификацией предпочтут конвертацию уязвимостей в валюту на хакерских платформах. Тем более на чувствительные данные сейчас повышенный спрос у наших недружественных "партнёров";
Риски ИБ повышают свою вероятность наступления. Стоимость рисков увеличивается.
Головотяпство, отсутствие управленческих компетенций и системной работы.
От сбера пока не отказаться, а вот юмани с юкассой пожалуй закрою.
А что, если..?
Приветствую тебя, читающий это письмо-обращение.
Возможно, у меня есть для тебя информация об уязвимости или уязвимостях на интернет-ресурсе domain.tld, за который ты несешь свою частичку ответственности. Я пока еще не решил, обладаю ли этой информацией.
Приглашаю тебя помочь мне выбрать правильное решение. Для этого прошу предоставить следующее по пунктам:
Список лиц и их контакты, которых (лиц) информация о возможной уязвимости или уязвимостях может заинтересовать, помимо тебя. Я сверю со списком, кому было отправлено это письмо.
Перечисли условия, которые поспособствуют выбору единственно верного и правильного решения в этой задаче и без риска применения к границам моей свободы статьи 272 УК РФ.
Каким требованиям мне потребуется соответствовать для обоюдовыгодного взаимодействия? Носить строгий костюм, не курить, консервативные политические взгляды?
Предложи порядок моих действий на случай возникновения желания передать ключевую информацию об уязвимости(-ях) заинтересованным лицам.
Приведи примеры, когда твоя компания достойно вознаграждала за стороннюю помощь в поиске уязвимостей на подведомственном интернет-ресурсе(-ах) с указанием размеров вознаграждений.
Какие гарантии ты можешь предложить мне? Какие гарантии ты захочешь получить от меня?
Добавь в этот пункт все остальное, что следовало бы, на твой взгляд, обсудить перед принятием мной решения.
Все эти пункты прошу опубликовать на главном информационном ресурсе компании в удобном вам и доступном всем посетителям разделе. В ответ на это письмо пришлите ссылку на публикацию.
Данное письмо было составлено в полусерьезной или полушутливой форме (я еще не решил) с целью выявления добросовестных и ответственных лиц, готовых к сотрудничеству в сфере информационной безопасности во благо неопределенного круга лиц.
Все недобросовестные и безответственные будут выявляться и наказываться общественным порицанием.
С уважением, <имярек>.
Это письмо разрешаю всячески использовать, дополнять, урезать, модифицировать.
Да, жаль, что столько сил вложил..
Добавлю и я свои пять копеек. Сбербанк принудительно отключает клиентов от эквайринга и переводит в ЮКассу, при этом API изменяется и на старых сайтах перестает работать. Соответственно, владельцы сайтов вынуждены тратить сотни тысяч рублей за модификацию своих сайтов (нам выкатили счет на 320 тыс). Сберу это все по барабану, они свои проблемы решают. Вот я и думаю, может перейти в какой-нибудь более дружелюбный сервис?
Думаете? Что тут думать?
З.Ы. один знакомый гендиректор говорил "всегда избегай крупных банков и прочих контор - для них ты (твоя компания) просто очередной клиент, на которого им плевать".
Тоже столкнулись с такой проблемой но переходить на ЮКассу не стали. Перешли на Альфа Банк. У них очень похожее API но намного более дружелюбная поддержка.
проект стал превращаться, скорее, в IT-компанию курильщика
50% + 1-на акция Сбера в собственности государства дают о себе знать...
Продублируй статью на дтф, там сидят важные шишки, подобный случай сильно ударит по репутации Сбера. Реально помогало.
Не знаю, насколько это действительно полезно, но последовал вашему совету, спасибо, опубликовал:
https://dtf.ru/u/1930427-aleksandr-litreev/3016847-kak-ya-obnaruzhil-problemy-u-yumani-sberbank-s-bezopasnostyu-i-ne-poluchil-deneg-za-naidennuyu-uyazvimost
Этот Яндекс, мне кажется, постоянно ворует деньги. на 4пла была статья про поиск багов. И ежегодные результаты выигрыша там были. Подробности названия я не помню , найти не проблема, и там были адреса и логины победителей. И я проверил их отзывы на другие сервисы Яндекса, маркет, карты. У меня было время, я их просто просмотрелел и офигел от того, насколько низкий уровень комментариев этих Адских программистов высочайшего уровня. Большинство Отзывов из каких-то пивных, из каких-то кальянных. 1 победитель писал, что он купил колонку, подключил, и там всё работает !! кнопки , телевизор включается. Ну как будто школьник какой-то , а не программист с со знанием 50 языков.
Нашёл 2 аккаунта с одинаковыми именами и script01 и script02, условно. Конечно, надо делиться о кальянах с рабочих аккаунтов 2 коллегам, оба победители с соседних столов.
Вывод такой. Похоже, они вешают выигрыши на левые аккаунты. Может, отзывы левые. Может, вчера созданные.
И куда вы нос свой суете ? Какая вам разница, куда делись деньги.
сколько ботов нагнали в комменты
А почему @bugbountyruи @yooteamзабанены на хабре?
Карма в действии, видимо :D
Согласно правилам, аккаунт переводится в ReadOnly при достижении кармы в -31. Но это больше для того, чтобы «обесточить» неадекватных пользователей — в случаях, когда нужен диалог (как, например, с корпоративными аккаунтами), аккаунты нужны живыми и дееспособными :) Так что пришлось подлечить их, чтобы они могли отвечать на вопросы пользователей.
Как долго сохраняется сессия на сайте Сбера? Она обрывается через 10 минут без действий или сохраняется, как на том же vk постоянно. Если первый вариант, то не сильно и критичный баг. Вероятность того, что кто-то зайдет в сбер и на сайт злоумышленника не так велика. Только, если фишинг какой.
Наблюдается некая дискриминация среди пользователей Хабра: корп. аккаунты, которые официально с позором были изгнаны сообществом с ресурса обнулились, а материал автора не был опубликован в соц.сетях Хабра на ВК/TG площадках, т.е. официально запретили идти в массы. Несправедливо это.
Читаю данный пост и потихоньку понимаю почему люди подобного ремесла рано или поздно уходят в черную.
Ну а что Вы хотите от крупной конторы, которая считает себя всемогущей it компанией?
После того, как пропали Яндекс.Деньги, всё происходящее, буквально со всеми проектами одноимённой компании стало превращаться в мусор, попутно кидая пользователей. Сначала пропали Деньги, потом PDD который обещали что будет бесплатный и навсегда (буквально так и было написано), потом из pdd сделали 360 (или как оно там называлось, но примерно тоже самое но иначе и всё через одно место рабочее) и тоже обещали бесплатно будет и навсегда, а потом раз, и не бесплатно, а подписчику оплатите, или почта отключается. Встраивание прямо в дизайн письма строчки с рекламой, - за это отдельный котёл в аду заготовлен. Постоянное перетаскивание дизайна ya.ru. Отдельный прыщ на лице обсуждаемой компании это появление мракобесной помойки под названием Дзен, - вот буквально, там одно мракобесие. Закрытие поисковика на основному домене и перенаправившие на дзен это апофеоз наглости. Такси из удобного приложения превратилось в что-то идиотское, в рекламе, кнопках и размер карты в 20% от всего экрана, на которой практически невозможно выбрать нужную точку.
Во общем можно долго рассуждать, насколько некогда.. назовём ещё достойной компанией, превратилась в набор сервисов, которыми больно и неприятно пользоваться.
Для меня эта компания прекратило своё существования примерно в 20 году, и по инерции приходится пользоваться некоторыми сервисами ( или потому что они стали монополистами), но я всё больше и больше отказываюсь от всего связанного с ними.
Обновлено: Как я обнаружил проблемы у ЮМани (Сбербанк) с безопасностью и не получил денег за найденную уязвимость