Предисловие
Сегодня я бы хотел рассказать о моем самом недооцененном кейсе за почти 5 лет работы. За это время мне удалось поработать со многими гигантами IT-рынка, которые платили достойные вознаграждения.
Однако случай, о котором пойдет речь, оставил после себя крайне неприятный осадок. Несмотря на то, что найденная мной уязвимость имела критический характер и могла привести к серьёзным финансовым последствиям для компании, её оценили в совершенно несоответствующую реальной угрозе сумму.
Именно поэтому я решил рассказать эту историю подробно, чтобы подчеркнуть важность адекватного отношения компаний к вопросам информационной безопасности и справедливой оценки труда специалистов.
Как я искал иголку в стоге сена и нашёл банковский сейф
Итак, одним вечером мне пришло в голову проверить компанию, которая почему-то раньше не попадалась мне на глаза, вернее, я не рассматривал ее с точки зрения потенциально уязвимого продукта. Очевидно, речь идет о сервисе "Суточно.ру".
С чего же я начал? Ответ прост - все началось, как обычно, - проверки классических XSS, CSRF и прочих уязвимостей на стороне клиента. Однако эти попытки не дали результатов, и я решил сместить фокус в сторону проверки бизнес-логики сервиса, а именно — механизма пополнения баланса. Решив перебрать параметр payment_method я обнаружил очень странное поведение - сервис отдавал ссылку на тестовый мерчант:
"Бинго!" - подумал я. Перейдя по ссылке, я нажал на кнопку "Оплатить" и баланс пополнился на 100 рублей. Денежные средства сразу отобразились на балансе:
«Ваш звонок очень важен для нас»: как Суточно.ру морозили меня после обнаружения критикала
Критическая уязвимость найдена, а значит, самое время связаться с компанией. Я немедленно написал в поддержку Суточно.ру, ожидая адекватную и оперативную реакцию на столь серьёзный баг. Однако реальность оказалась далека от ожиданий:
Как видно из скриншота первое сообщение поддержка проигнорировала — оно было прочитано почти сразу, но ответа не последовало. Лишь после повторного обращения мне всё же ответили. Позже со мной связался сотрудник отдела информационной безопасности по имени Роман, заверивший, что вознаграждение будет "честным":
После этого сообщения я сразу передал техническую информацию по уязвимости. Чуть позже мне написали, что изучат проблему и вернуться с ответом. К слову, ответ в тот вечер я получил лишь поздно вечером:
Проснувшись следующим утром, я сразу взял телефон, ожидая там увидеть уведомление из телеграмма. Думаю, вы уже догадались — там было пусто. Только после трех сообщений, которые я отправлял в течение дня мне удосужились ответить:
После этого сообщения я испытал сильное разочарование, осознав, что предложенная сумма больше похожа на издевательство и, разумеется, речь вовсе не шла о вознаграждении в долларах. Безусловно, 25000 рублей за уязвимость с такими возможностями - просто плевок в лицо. Можно представить множество ситуаций, в которых Суточно.ру юридически обязано было бы компенсировать огромные суммы пользователям. Компания в случае эксплуатации потерпела бы потери гораздо серьезнее, чем такое "вознаграждение". В процессе исследования я обнаружил ещё несколько проблем безопасности, но после всей этой истории желание работать с Суточно.ру окончательно исчезло.
Само сотрудничество с компанией оставило крайне неприятные впечатления — постоянный игнор и отсутствие адекватного диалога заставляют задуматься: если Суточно.ру настолько небрежно относятся к безопасности, могут ли они вообще гарантировать защиту данных и средств своих клиентов?