Comments 37
Без обид, но у вас не три истории, а просто три уязвимости. Или вы просто как бы невзначай напомнили сообществу про Ethic Hack? :)
UFO just landed and posted this here
Вспоминается Шарапов и его монолог про разведчика.
До этой программы я им писал и звонил, сообщал о нескольких багах(еще в старой версии сайта), но за год так ничего и не предприняли. По телефону просто говорили — «хорошо, мы передадим» а на письма вообще даже не отвечали.
Так что со стороны может оно и лучше видно, но изнутри все равно «мы ничего не видим».
Так что со стороны может оно и лучше видно, но изнутри все равно «мы ничего не видим».
:)
Мне кажется, для мотивации новых багоискателей в
той статье не хватает раскрытия главного ингридиента: информация о том сколько было выплачено авторам за эти ошибки
той статье не хватает раскрытия главного ингридиента: информация о том сколько было выплачено авторам за эти ошибки
И авторам этих ошибок.
Общая сумма выплат неограничена, зависит от количества присланных автором ошибок, размеры выплат и классификацию можно посмотреть на последней странице static.qiwi.com/ru/doc/ethic_hack.pdf. Например, были выплаты и по 300к в один день)
Говорю как клиент киви — вы молодцы, что не тупите и следите за безопасностью своих клиентов не через их взломанные акки, а через эту программу. Спасибо ;)
Во, к месту… ) Интересно, а что с «удаленным выполние кода» почти на всех своих сервисах (где Struts2 стоит — qiwi.ru, visa.qiwi.com, m.qiwi.ru, ishop.qiwi.ru)?
Когда я проверял уязвимость, то она у вас была на всех этих сервисах..., но я как-то не успел написать баг-репорт, так как свои сервисы чинил.
Адвайзори и патч вышли в паблик же 16-го числа… я проверял 17-го… тогда же 17-го вечером, и утром 18-го началась широкомасштабная волна атак из Китая (может раньше), итоги — Самсунг и Аппл получили по рогам, так как не успели зафиксить вовремя) У меня-же в логах полно отпечатков атак, и на ханипоте отметились заливкой бекдора. Вспомнил про Вас… хотел было написать, но вижу — бага зафиксина. Вопрос: как вы нашли багу:
1) Прочитали адвайзори с 16-го числа и зафиксились 18/19го. И вам тупо повезло, что китайцы не успели добраться до вас…
2) По китайской активности — инцидент
3) Кто-то сообщил в баг репорт и получил ревард… и опять таки вы все это успели до китацев с их волной сканов и заливов в районе 18-го/19-го?
Да… немного провокационный вопрос в паблик комментах… согласен, на ответ не надеюсь, понимаю ситуацию… но это более интересная история могла бы быть, мало ли обошлось без неприятностей и по любому эта бага интереснее по импакту, чем трешевые XSS/CSRF и если, например, баг-банути помогла вам обратить внимание на Struts2 раньше Китайцев на несколько часов, то это было бы реально показательно и полезно… )) Ну и если у вас успели побывать плохие ребята, то это конечно то же интересно 8)
Когда я проверял уязвимость, то она у вас была на всех этих сервисах..., но я как-то не успел написать баг-репорт, так как свои сервисы чинил.
Адвайзори и патч вышли в паблик же 16-го числа… я проверял 17-го… тогда же 17-го вечером, и утром 18-го началась широкомасштабная волна атак из Китая (может раньше), итоги — Самсунг и Аппл получили по рогам, так как не успели зафиксить вовремя) У меня-же в логах полно отпечатков атак, и на ханипоте отметились заливкой бекдора. Вспомнил про Вас… хотел было написать, но вижу — бага зафиксина. Вопрос: как вы нашли багу:
1) Прочитали адвайзори с 16-го числа и зафиксились 18/19го. И вам тупо повезло, что китайцы не успели добраться до вас…
2) По китайской активности — инцидент
3) Кто-то сообщил в баг репорт и получил ревард… и опять таки вы все это успели до китацев с их волной сканов и заливов в районе 18-го/19-го?
Да… немного провокационный вопрос в паблик комментах… согласен, на ответ не надеюсь, понимаю ситуацию… но это более интересная история могла бы быть, мало ли обошлось без неприятностей и по любому эта бага интереснее по импакту, чем трешевые XSS/CSRF и если, например, баг-банути помогла вам обратить внимание на Struts2 раньше Китайцев на несколько часов, то это было бы реально показательно и полезно… )) Ну и если у вас успели побывать плохие ребята, то это конечно то же интересно 8)
Из условий участия в этой программе:
За что ж так жестоко? Целых 5 лет? А сами-то вот, раскрыли раньше. Не хотите, чтоб они на хабре вместо вас карму получали своими историями?
Участник Программы обязуется не разглашать Конфиденциальную информацию в течение 5 (пяти) лет со дня направления сообщения об Ошибке в адрес Компании.
За что ж так жестоко? Целых 5 лет? А сами-то вот, раскрыли раньше. Не хотите, чтоб они на хабре вместо вас карму получали своими историями?
Всегда интересовала юридическая сторона этого вопроса: как заработанные премии оформлять.
Если я, как ИП или ООО хочу организовать премии хакерам за анализ моего сервиса, то как мне это проводить по бухгалтерии?
По идее надо заключать договор подряда.
Договор подряда — это надо брать у «Хакера» данные паспорта и прочее добро. Весело если он окажется не резидентом РФ…
Если багов много и люди разные, то это будет много договоров подряда.
Если я, как ИП или ООО хочу организовать премии хакерам за анализ моего сервиса, то как мне это проводить по бухгалтерии?
По идее надо заключать договор подряда.
Договор подряда — это надо брать у «Хакера» данные паспорта и прочее добро. Весело если он окажется не резидентом РФ…
Если багов много и люди разные, то это будет много договоров подряда.
Это прибавляет работы бухгалтерии, да и бывают нюансы, когда хакер несовершеннолетний (у фейсбука вроде этот случай был?). Но результаты программы перекрывают эти недостатки.
Т.е. если я, предположим, несовершеннолетний исследователь отправил вам уязвимость, вы ее подтвердили, и потом оказывается, что мне еще нет 18, могу ли я вывести деньги через банковский счет родственника или все-таки имею право предоставить всю нужную для бухгалтерии информацию и получить деньги на свой банковский счет?
Пока таких случаев не возникало, я не знаю правильного процесса. Но я гарантирую, что в нашем подходе не будет излишней бюрократии и формализма. Найдем такой законный способ оплатить работу, который устроит исследователя.
Большое спасибо за ответ. Два дня назад отправил вам уязвимость, буду ждать ответа!)
Даже спустя две недели ответа на сообщение с уязвимостями я не получил.
Но юридически на каком основании перевод денег? Договор подряда или что? Кто налог платит?
Просто интересно как вы реализовали схему оплаты краудсорсинга в российских условиях.
Многие компании последовали бы вашему примеру, но как это реализовать не ясно.
Просто интересно как вы реализовали схему оплаты краудсорсинга в российских условиях.
Многие компании последовали бы вашему примеру, но как это реализовать не ясно.
Можно, наверное как-нибудь через материальную помощь оформить, но будет ли это законно, и прийдётся ли хакеру платить с этого налог.
Что мешает вам, помимо этики, подать заявление в полицию, а не выплатить вознаграждение?
Значительно ли участились попытки взлома? Много кто пытался уничтожить или вывести из строя?
Значительно ли участились попытки взлома? Много кто пытался уничтожить или вывести из строя?
Ой =) Моя бага с sms.qiwi.ru =) Приятно =)
Имхо. Смешные деньги за найденные баги в платежной системе. Такими суммами вы демотивируете людей помогать вам.
1. за найденные баги на sms.qiwi.ru мне ничего не дали — сказали «домен НЕ участвует в конкурсе», как так? что тогда в посте?
2. отвечаете скупо, редко, не говорите когда что и как будет, про принятые и непринятые баги тоже молчат, мне с кучи репортов и кучи обращений ответили дай бог 2-3 раза, уже недели две как морозитесь :) вопрос — когда?
честно даже не хочется репортить о более серьезных багах с таким отношением
2. отвечаете скупо, редко, не говорите когда что и как будет, про принятые и непринятые баги тоже молчат, мне с кучи репортов и кучи обращений ответили дай бог 2-3 раза, уже недели две как морозитесь :) вопрос — когда?
честно даже не хочется репортить о более серьезных багах с таким отношением
Этот домен действительно не участвует в конкурсе, раньше участвовал, но его убрали задолго до публикации топика. Однако, я признаю, что мы ввели общественность в заблуждение, опубликовав историю о нем. Поэтому, включаем сайт обратно в скоуп.
Все присланные баги по sms.qiwi.ru будут обработаны согласно процедур, описанных на нашем сайте.
Ну а насчет долгого ответа, могу только попросить проявить терпение. Это занимает много времени и ресурсов разработки: в процессе оплаты багов есть условие о том, что баг должен быть устранен на нашей стороне.
Все присланные баги по sms.qiwi.ru будут обработаны согласно процедур, описанных на нашем сайте.
Ну а насчет долгого ответа, могу только попросить проявить терпение. Это занимает много времени и ресурсов разработки: в процессе оплаты багов есть условие о том, что баг должен быть устранен на нашей стороне.
понятно, спасибо
Чтобы не было недосказанности — мы обработаем все уязвимости, присланные до 20.08.13 включительно. В скоуп сайт будет включен на условиях, описанных правилах, ждите обновления правил.
а долго кстати будет еще конкурс? или уже заканчивается? есть смысл еще искать? в правилах не видел этого
Конкурс будет долго, смысл искать есть. По сайту sms.qiwi.ru будет уточнение, приниматься будут только высокорискованные уязвимости по индексу OWASP.
Но в скоупе всегда будут основные ресурсы, ну и будем добавлять разные дополнительные из нашей зоны деятельности, но не несущие стратегической ценности.
Но в скоупе всегда будут основные ресурсы, ну и будем добавлять разные дополнительные из нашей зоны деятельности, но не несущие стратегической ценности.
Sign up to leave a comment.
3 истории Ethic Hack. Как хакеры помогают QIWI ликвидировать баги