Comments 177
… сам занялся подделкой только что купленного билета. На другом конце моего ножа для обрезки сигар находился перфоратор, с помощью которого я изменил пробитый на билете код места назначения.
Теперь я летел вместо XVIII на планету X, и на этом изменении курса потерял почти двести кредиток. В этом состоит суть моего метода. Никогда не увеличивайте стоимости билета слишком много шансов засыпаться. Если же вы уменьшите его стоимость, то даже если это будет замечено, все сочтут это ошибкой машины. Ни у кого не возникнет и тени подозрения, так как терять на подделке денег явная бессмыслица.
"Крыса из нержавеющей стали", Гарри Гаррисон
Или четыре маленьких :) Важен принцип: не стараться получить материальную выгоду.
А он именно увеличил до 50 евро!
Сразу вспоминается Сбербанк Онлайн (http://online.sberbank.ru/, https://online.sberbank.ru/), где это не сделано до сих пор. И прошло уже совсем не «несколько дней».
Недавно совершал оплату картой, процессинг осуществлял sberbank.ru и не обнаружил там https. Долго думал, фишинг или нет.
уже после ввода данных? Просто если "до", то лично я бы не стал там вводить данные карты...
// а если после, то таки точно пора уже грефу прямым текстом заявлять, что в своём глазу бревна не видит
Обнаружил до перевода и посчитал это очень подозрительным. Перевод не стал совершать и пошел внимательно сличать адрес с адресом сбера. www.sberbank.ru. Адрес был правильный, но подобные вещи от крупного банка просто непростительны.
Только точные адрес ПЛЮС https дают какую-то гарантию. Одно из двух — это как ворота без забора (или наоборот).
достаточно хорошим достижениямэлектронная очередь что ли? )
В бассейне, например, для достижения результата, нужно ваше личное присутствие, а все банковские операции успешно выполняются онлайн и с помощью бумажной почты.
На мой взгляд уж лучше десяток раз сходить в сбербанк лично чем один раз попытаться пообщаться с ним через нашу Почту.
Если самоуважение есть.
Выписка со счета от тинькова пришла в тот же день на email и еще спустя 3-4 дня в почтовый ящик бумажным письмом с печатями. В старинном банке получить справку — это написать заявление, подождать 2 недели и потом забирать в рабочее время в офисе, который хз где находится.
Карточки курьер привозит, бумажные справки — почта. Не представляю, что делать в банке лично, если там процессы налажены.
Хорошо, когда есть выбор. Вы его сделали и я рад ) У меня карты многих банках в т.ч. и того про который вы намекаете )
Когда мне срочно нужна была справка, в убогом банке АБ «РОССИЯ», мне надо было ждать её 2 недели, а потом ехать за ней лично. Что в моем графике заняло еще пару недель.
все рассказать и показать, в банках это делают.
Последний раз в сбере, в котором нет онлайн-чата, где отвечают за минуты, на мой вопрос на сайте отвечали дней 10. Вопрос был «какого хера я полгода назад написал заявление на закрытие счета, а мне с него все еще приходят отчеты». Ответили, что счет не закрыли, так как там оставались деньги. И молчат полгода. Разумеется, надо снова идти в отделение и опять писать заявление.
Я про такие косяки могу часами рассказывать, хотя пользуюсь отсталыми банками по-минимуму, вынужденно.
Зачем мне оформление офисов, я не хочу работать курьером у банка и куда-то бегать по офисам. Особенно, когда у других бегать никуда не надо.
Переводы у тинькова бесплатны в любой банк, вот где легкость. Сбер дерет 1% за перевод на сбер в другой город, а их тарифы по картам одни из самых невыгодных на рынке.
Их мобильное приложение самое тормозное, из тех что я пробовал. Пока оно запустится и просканирует телефон на вирусы, я уже забываю что хотел сделать.
Да сканер карт от Тинькова впечатляет ) Переводы у Тинькова бесплатны в любой банк из-за того, что нет расходов на офисы, а не будет банкоматов, Тиньков не нужен будет, а эту инфраструктуру строят другие банки и самая большая у Сбера.
Вот не начислять проценты на остаток по дебетовой карте — плохо.
Я рассказываю про цифры, тарифы и конкретные факты. Вы озвучили преимущество сбера в виде удобных очередей в красивых офисах.
Если сбер завтра предложит лучшие тарифы, сервис и будет показывать хорошие темпы развития — я переметнусь в него, мне не принципиально.
Могу даже забыть их скотское отношение за все эти годы.
которым надо все рассказать и показать, в банках это делают
Зачастую в банках показывать и рассказывать приходится как раз для операционистов ))
Одни банки приносят дебетовую карту курьером на следующий день, вторые 2 недели(!!!) одобряют её! Одобряют дебетовую карту!
Дебилы, блять )
— где карту получали туда и топайте?
если последний раз вас перекинули на https, то чего вы лезете на http?
Кто-то исправляет, но таких мало. Кто-то исправляет, но баги появляются снова (я даже не представляю, как они это делают). А многие просто забивают и игнорируют сообщения.
Уверен, что если информацию о багах публиковать, мы увидим гору истеричных статей уровня «В Сбербанк онлайн уязвимостей нет». А если кто-то все же взломает компанию, которая ничего не делает для защиты данных, то начнётся истерика про злых хакеров. Хотя их предупреждали. И не раз.
Никакого роялти за уязвимость не заплатили. Только нервов и времени кучу потерял. В общем больший профит сразу статьи писать. Хоть известность приобретешь которую худо бедно можно в таньгу конвертировать.
```
git push --force
```
Выкатил пару дней на сайте двухфакторную авторизацию, на мойтелефон смс с подтверждением смог отправить и я благополучно зашёл, а на телефон мамы от её аккаунта он смс отправить не смог, в чём честно и признался.
Утром эту срань выпилили и вход очуществлялся по старинке с логином/паролем.
И я надеюсь, что все причастные получили знатных пиздюлей, чтобы больше такого не происходило.
Кто-то обнаружил, что пароль администратора был adminadmin
После этой фразы я потерял сознание… Очнувшись, понял, что чуть не проломил стол, стену и собственный лоб, отбивая «Фейспалм» и бъясь о разные твердые поверхности головой…
Сохранил статью в закладки как аргумент против пропаганды бездумного повсеместного White Hat этикета. Компании заслуживают сообщения об ошибках только за хорошее поведение.
…Выражающееся как минимум в наличии на корневой странице сайта ссылки на страницу с минимальным полиси:
- условия на которых разрешено "добросовестное" тестирование сайта на дыры (допустимый рейт запросов который не вызовёт DoS, требование не изменять данные реальных посторонних юзеров и не распространять данные к которым удалось получить несанкционированный доступ, etc.)
- email куда присылать отчёты о дырах/ошибках
- адекватный (до 3-х месяцев максимум) временной период после отправки письма, через который разрешено выкладывание инфы о найденной уязвимости в паблик
- отказ от преследования при условии следования вышеперечисленным правилам
А отсутствие на сайте такой инфы должно служить whitehat-ам сигналом выкладывать найденные дыры в паблик немедленно.
Ранее была просто указана почта security@ в General Contact Info, но письма часто игнорировались. Дошло до того, что разработчик Euro Truck Simulator устроил Harlem Shake на своей странице в сообществе, не добившись от Valve ответа по XSS. Его забанили, последовали скандалы, закончившиеся вполне себе хэппиэндом. Почитать можно например тут, и год спустя.
А вот на сайтах EA (Origin) / BattleNet (Blizzard) подобное сходу не находится
Если нашёл багу у компании, сначала проверь, участвует ли компания в баг баунти, если да, то продавай им уязвимость через баунти, если нет, то продавай уязвимость тому кто купит.
Перефразирую. Приходит к вам домой почтален, стучится — ни кто не отвечает. Он дергает ручку, обнаруживает, что дверь открыта — он оставляет посылку, берет печеньку и пишет записку — дверь была открыта, заперите пожалуйста, а то все печеньки растащат. P.S. взял печеньку.
На следующий день приходит, проверяет дверь. Дверь открыта, он берет печеньку и идет на рыночную площадь и сообщает всем, что вот тот человек не запирает свои печеньки, хоть его и предупреждали.
Я захожу внутрь (через дверь для клиентов), говорю ресепшену — мол, что ж за фигня — у меня там деньги хранятся. Ресепшен говорит «м… уу… м...» и всё. Я возмущён — там мои деньги хранятся — я привлекаю внимание общественности к факту, что у банка дверь без замка.
Банк сажает меня за «взлом банковской системы путём сообщения неограниченному кругу лиц о том, что банк не запирает дверь в хранилище».
А без эксперимента банк будет говорить "Врет он все, у нас надежно". До тех пор, пока кто-нибудь не зайдет и не вынесет вообще все. Но только в случае эксперимента можно просто все вернуть, а вот найти уже грабителя может и не получиться. Как будто первый день живете.
Формально — скорее всего да. Хотя не удивлюсь, если найдутся страны в которых есть исключения в виде оправдания, если не награждения, в случаях, когда такое проникновение служит общему благу в каком-либо его виде. То, что их нет где-то говорит скорее о несовершенстве системы. А еще есть следование духу а не букве закона, что тоже в таком случае (если вы после того как вынесли пару мешков согласны добровольно их вернуть в целости) вас оправдает в случае когда суд заинтересован в благополучии общества, а не в собственной извращенной статистике или откатах банка, который вообще-то тоже заинтересован в нахождении таких дыр малой кровью, но почему-то иногда действует против своих же интересов.
вынесли пару мешков для проверки, не остановят ли по дороге
после того, как не остановили, положил мешки снаружи, оставив номер телефона, через 10 минут мешки занёс обратно охранник, по указанному номеру так никто и не перезвонил
А по-венгерски на Хабре ругаться можно, интересно?
девелоперы
на GT
Вы правда считаете, что серьезные российские ИТ-компании(подразделения) состоят из кул-хацкеров, которым нужно попиариться в постах и посраться в жестко пре-пост и вовне модерируемых комментах?)
QA тестирует соответствие продукта ТЗ, где ни слова о том, что система не должна иметь пароля adminadmin или не должна пересылать/получать цену на клиентскую сторону. Так что с QA, уверен, там полный порядок ;)
На правах работника дочерней фирмы T-Systems
А студент просто оказался не готов к социалистическому будущему. Может, они там коммунизм втихую строят, электронный такой? А что при коммунистах с такими делали? Правильно —
Там и президент носит роскошные усы, всё как положено! Интересно, курит ли он трубку?
>интернет
С описанной здесь ситуации вообще никаких аналогий нет.
2. Водитель проводил контроль при выходе, если видел безбилетника.
все граждане вокруг кассы внимательно следили, кто сколько в кассу кинул… То есть, был общественный контроль!
Вот я и спрашиваю, неужели граждане (пассажиры) следили? И разве они что-то делали с тем, кто не предъявил проездной и не купил билета?
Это правило присутствовало в «Правилах пользования общественным транспортом», экземпляр которых был вывешен в каждом вагоне.
И самое смешное – вы могли сами установить цену...
Да там — ВСЁ самое смешное.
Набрали студентов на практику)
И т.ж. см. Semmelweis reflex, Contemporary reaction to Ignaz Semmelweis.
Так или иначе, он пошёл поперёк чужого бизнесаА чьему бизнесу мешало бы мыть руки? Смысл именно в том, что врачи отказывались признавать, что смертность вызвана именно их действиями.
У меня тут мир недавно рухнул. Оказывается! Люди в принципе компьютерами особо пользоваться не умеют. Умеют только частично офисные сотрудники и ИТ-отрасль. ВСЁ!
Со всеми этими андроидами и айфонами многие рожденные до 1980х вообще не в курсе что внутри компьютера особо.
— Р: Ребята, нам надо сделать вот такую систему. Она должна быть выполнена в крайний срок.
— И: Но у нас нету…
— Р: Завтра приду смотреть на результат.
…
— Р: О, я смотрю всё работает (система оплаты). Давайте, выкатывайте.
— И: Но…
— Р: РЕЛИЗ!!!
Ну вот суть — сайт при клике за участника ставит куку PHPSESSID (именно!). Отключаю я куки в браузере и жму проголосовать — успешно проходит 500 лайков. Смотрю прошлые фотоконкурсы — у выигравших 3000-8000 лайков, а второе место от 300 лайков. Народ в комментариях пишет что накрутка — а админы говорят что все голоса с разных айпи и рейтинги верны. Авторизации конечно нет.
И так все последние конкурсы — все накручены с огромным отрывом и только вторые места показывают реальное количество посетителей.
Кстати за эти конкурсы естественно дарятся призы партнеров.
Это является взломом? За мной выехали?
нету никаких "взломов"
человек на своем! компьтере, с помощью кнопочек насоздовал/напоменял какие-то там символы у себя на экране, которые вообще могут ничего не означать
тем более, что это и не символы никакие — а просто список нолей с единицами…
так что, адьёс всем, кому там чо-то померещилось
В Минске можно оплатить проезд в метро SMS. Заказывал билеты со своего корпоративного номера, пересылал семье мессенджерами.
Потом нас конечно накрыли…
Теперь думаю как в Праге SMS билеты генерить.
Если вы просто вводили урл, (shop.bkk.hu), сайт просто не открывался. Вначале я думал, что он упал, но оказалось, что они просто не сделали редирект с http на https.
Пфффф… Венгрия. У Сбера в России до сих пор так. То есть понимаете, в чем суть, да? Сбербанк. Не открывается по http. У них просто не сделал редирект. Я даже не удивлюсь, если ко мне однажды после этого придут, я же совершил попытку взлома.
Просто когда ты себе цену сбиваешь в ноль — это явная эксплуатация уязвимости. А тут баг баунти нет, договора на тестирование нет. Человек то по факту нарушил закон. И может ему еще надо было оставить этот проездной? То что у моего соседа дверь открыта и никого нет — это не значит, что если я зайду и вынесу что-то, то это будет легально (типа сам дурак).
18-летний молодой человек арестован за сообщение о «детской» ошибке в новой системе электронных билетов Будапешта