Pull to refresh

Comments 20

Благодарю! Было интересно почитать. А за какую именно уязвимость большего всего выплатили, если не секрет?
Массовое пополнение мобильных телефонов с чужой карты
У скольки банков есть такие программы?
Наверное, только у ПБ. :)
В Украине только у ПриватБанка, в мире есть банки с похожими программами, можно попробовать их поискать на https://hackerone.com
Я тут немножко посчитаю чужие деньги…

1500 + 1250 * 3 + 1000 + 750 * 5 + 500 * 9 + 250 * 8 = 16500

16500 / 36 = 458 $ в месяц

Понятное дело, есть еще основная работа. Но блин, это запрлата Q&A'щика… Но только какой мануальный тестировщик найдет хоть один из этих багов? Программисты, которые говнокодят, получают больше чем исследователи, которые за ними подчищают.

Извините, накипело просто.

image
Всреднем, я репортил 55/3г/12мес = 1.5 уязвимости в месяц. На поиск уязвимости уходит от 15 мин.до пару-тройку часов. Изредка больше. $458 за пару часов работы — это не такие уж и маленькие деньги. Средний разработчик получает $10-15/час
Так «зарплаты» не совсем корректно сравнивать. Ведь разработчик получает свои деньги гарантированно даже если он ковырялся в носу этот час, а хакер получает только в случае успеха.
Да сколько ж вы эту тему еще мусолить будете?
Добавьте нормальные подписи к осям. Например, «Время фикса, дней» написано и у оси абсцисс, и у оси ординат, и решительно невозможно понять, что изображено на диаграмме.
Статья «почему в Украине все же есть белые хакеры» как будто бы опровергает статью «почему в Украине нет белых хакеров». Беда в том, что содержимое обеих статей никак не отвечает на вопросы, поставленные в их заголовках.
Не пытаясь начать очередной холивар, отмечу, что правильность размещения предлогов перед названием географических объектов разъяснена на известном многим редакторам сайте — http://www.gramota.ru/spravka/buro/hot10/. Опять же извинюсь, всё это касается только русского языка.
Это касается литературных норм русского языка при использовании его в качестве государственного языка России.

А вообще феерично:
Порядок утверждения… правил русской орфографии и пунктуации определяется Правительством Российской Федерации.
Спасибо за статью!
Хотелось бы ещё почитать про самые интересные для Вас баги, как они искались, способы эксплуатации.
Тем более что все уязвимости уже закрыли.
Отличная статья, показывающая, что выбор есть всегда, ну а ответственность за этот выбор персональная. Подход автора требует определенной дисциплины и систематичности, на что в повседневной жизни, конечно, не всегда хватает ресурсов. Статистика собрана очень интересная, спасибо!
Выбор есть всегда?
Только у одного банка такая программа.
Всем остальным пофиг.
Я имел в виду тот выбор, когда человек сам выбирает, на чью сторону ему становиться. Типа выбор между добром и злом )) Хотя с нашими банками не совсем понятно, где добро, а где зло )
Ну вы можете выбирать исследовать софт этого банка или других.
У остальных банков в Украине нет и близко такого коммерческого электронного продукта, как у Привата. Им не пофиг — у них нечего ресёчить.
У многих украинских банков есть интернет-банкинг
Отличная статья. Можно узнать твой псевдоним в рейтинге Баг Хантеров ПриватБанка? Я прислал больше 150 уязвимостей и написал за всё время только одну статью http://www.securitylab.ru/news/474561.php. Думаю, нужно писать больше статей.
Only those users with full accounts are able to leave comments. Log in, please.