Добрый день. Если у вас данная статья вызывает FOMO, то проблема не в статье, а в вашем подходе к трейдингу и криптовалютам в общем. Я бы настоятельно работал с корнем проблем, а не с внешними раздражителями.
И снова, это НЕ предсказание. Я лишь собрал некоторые факты вместе и сделал определенный вывод. В статье не утверждается, что рынок пойдет по точно намеченному сценарию. Но большинство фактов из статьи заслуживают как минимум внимания.
Данная статья не является сигналом, это даже не торговая аналитика. Это разбор некоторых ситуаций в мире крипты с новой точки зрения. При этом не предлагается совершать никаких торговых операций.
Тоже очень разумно, если совсем киевстар жлобы заплатить. Исследователю будет приятно, уже в общественность он не понесет этот кейс, ну или это уже будет совсем другой разговор.
И если бага\информация не попадает в scope bugbounty компании, но может нанести урон, то это исключительно недоработка самой компании. Если хантер нашел какую то уязвимость и очень сомневается, писать ли репорт, то это в первую очередь вина самой компании. Это говорит о том, что bugbounty программа не полностью справляется со своей задачей и нужно что то улучшать. Имею в виду конечно же независимых исследователей, White\Gray Hat хантеров, ищущих баги в целях заработать вознаграждение законным способом. Целенаправленные APT атаки — это отдельная тема разговора.
ildarz, вот поразмысли еще над следующей информацией:
Bug Bounty нужно не багхантерам в первую очередь, они то заработают в любом случае, Bug Bounty нужно компании. Зачем? Что бы минимизировать крупные убытки в виде утечек и взломов более мелкими тратами, стараясь заинтересовать всех багхантеров в отправке найденного ими непосредственно в компанию, а не третьей стороне. Вот изначальная идея создания любого Bug Bounty. Это уже потом придумываются Severity, Scope и прочее, что бы как то формализовать схему оценки\выплат.
Если компания открывает свое Bug Bounty и не понимает то, что я написал выше, то это как использовать кучу одинаковых вложенных циклов вместо рекурсии, будет частично работать, но костыыыыыыыыльно и очень коряво…
@ldarz ну ты смешной. Один тащищь за весь киевстар чтоли? ахахахах.
Вот ты пишешь
Парни, у вас тут из окошка какая-то папка с бумагами выпала. — О, чувак, спасибо, мы можем тебя чем-то отблагодарить? — Ну угостите пивом.", а вовсе не "- Так, парни, я тут нашел вашу папочку, прочитал и решил, что вы мне теперь за молчание много бабла должны".
А вот как это выглядит на самом деле
— Компания: Ой, мы тут ехали по улице на машине и у нас выпал из окна чемоданчик, набитый деньгами (учитывая вашу утечку) не меньше чем с четвертью миллиона гривен.
— Хантер: Ребят, у вас тут чемодан с деньгами выпал с окна машины, вот, держите, срочно закройте свое окно, что бы дальше деньги не вываливались.
— Компания: О, ну ты молодец, умничка, вот тебе 1000 гривен, иди с богом.
— Хантер: Алло, я мог забрать себе четверть миллиона, а вы мне 1000? Вы адекватные вообще?
— Компания: Ну ты понимаешь, это out-of-scope, вот если бы ты придумал как вытащить наши четверть миллиона из нашего офиса, вот тогда ты молодец, а так возьми на пиво и топай.
— Хантер: Да вы совсем охерели, пойду напишу хоть на хабр, пусть общественность увидит какой Киевстар жмоты с недоразвитым security отделом.
— Компания (один чувак): Ну я попытаюсь оправдать наш говнофейл в коментах, что бы нас не так хуесосили другие хантеры (понимая что компания в жопе :) )
И все в таком духе будет продолжаться. Короч Киевстар мудозвоны, а автор статьи один из ярчайших примеров White Hat хантеров.
P.S. Но в следующий раз топи этот Киевстар, толкай Critical баги в даркнете) Эти недалекие ребята потом еще поймут, как обосрались)
Автор взял и сократил OWASP Testing Guide или любую другую методологию по пентесту Web приложений до короткой статьи, делая упор на тестировании безопаности проведения транзакций, аккаунтов с балансом криптовалюты\долларов и прочие особенности такого типа приложений. Видно, что материал собран по опыту, а не только с прочитанных книг. Как баг хантер почерпнул для себя полезную информацию.
Вот яркий промер того, как из whitehat люди становятся blackhat. А потом эти же компании вроде киевстара ноют по поводу того, что их взломали плохие хакеры и украли енную сумму баксов\данных или же что то напортачили.
Вот яркий пример того, как из whitehat люди становятся blackhat. А потом эти же компании, вроде киевстара, ноют по поводу того, что их взломали плохие хакеры и украли енную сумму баксов\данных или же что то напортачили.
Если рассматривать чисто из «политики bugbounty», то киевстар мог вообще ничего не платить. Если рассматривать как кейс компроментации данных компании, то лучше бы киевстару заплатить. Пусть и не 3000$, но 1-2к$ можно было выплатить за порядочность. Благодаря этой статье ни один баг хантер больше не отправит киевстару high или critical уязвимость (слышавший о текущей истории), лучше продать третьей стороне. Говорю как баг хантер. В перспективе киевстар может потерять десятки тысяч долларов, и в этом будет виноват сам киевстар.
P.S. если бы киевстар вообще ничего не заплатил, а дал только репутации, это было бы адекватнее. Можно было бы сослаться на политику багбаунти, возможно выдать какой то подарок и все. Выплатить 50$ это как дать на благотворительность 10 копеек.
Потому что делал это долго, сделать это было проблематично, и большинство людей просто не станет так сильно заморачиваться. И взломал, потому что был баг в работе сервера. Если бы не он, было бы все намного сложнее. И я был первым, кто нашел этот баг среди 100к людей, и второй среди тех, кто когда либо ломал эту игру. Так что это говорит о прекрасно проделанной работе одного разработчика.
Bug Bounty нужно не багхантерам в первую очередь, они то заработают в любом случае, Bug Bounty нужно компании. Зачем? Что бы минимизировать крупные убытки в виде утечек и взломов более мелкими тратами, стараясь заинтересовать всех багхантеров в отправке найденного ими непосредственно в компанию, а не третьей стороне. Вот изначальная идея создания любого Bug Bounty. Это уже потом придумываются Severity, Scope и прочее, что бы как то формализовать схему оценки\выплат.
Если компания открывает свое Bug Bounty и не понимает то, что я написал выше, то это как использовать кучу одинаковых вложенных циклов вместо рекурсии, будет частично работать, но костыыыыыыыыльно и очень коряво…
Вот ты пишешь
А вот как это выглядит на самом деле
И все в таком духе будет продолжаться. Короч Киевстар мудозвоны, а автор статьи один из ярчайших примеров White Hat хантеров.
P.S. Но в следующий раз топи этот Киевстар, толкай Critical баги в даркнете) Эти недалекие ребята потом еще поймут, как обосрались)
Статья годная.
P.S. если бы киевстар вообще ничего не заплатил, а дал только репутации, это было бы адекватнее. Можно было бы сослаться на политику багбаунти, возможно выдать какой то подарок и все. Выплатить 50$ это как дать на благотворительность 10 копеек.