Как стать автором
Обновить

Комментарии 37

Без обид, но у вас не три истории, а просто три уязвимости. Или вы просто как бы невзначай напомнили сообществу про Ethic Hack? :)
НЛО прилетело и опубликовало эту надпись здесь
Вспоминается Шарапов и его монолог про разведчика.
До этой программы я им писал и звонил, сообщал о нескольких багах(еще в старой версии сайта), но за год так ничего и не предприняли. По телефону просто говорили — «хорошо, мы передадим» а на письма вообще даже не отвечали.
Так что со стороны может оно и лучше видно, но изнутри все равно «мы ничего не видим».
:)
Мне кажется, для мотивации новых багоискателей в
той статье не хватает раскрытия главного ингридиента: информация о том сколько было выплачено авторам за эти ошибки
И авторам этих ошибок.
В этом секрета никакого, за первую 15к, за остальные — по 3к рублей.
Общая сумма выплат неограничена, зависит от количества присланных автором ошибок, размеры выплат и классификацию можно посмотреть на последней странице static.qiwi.com/ru/doc/ethic_hack.pdf. Например, были выплаты и по 300к в один день)
Платят даже за всякую фигню, мелочь а приятно :-)
И хорошо что описано что почём, есть шанс прочитать стоимость inject-а до того как его слить…
Типа как телешоу, возьмёте денег за inject или попробуйте развести бизнес логику :-)
Говорю как клиент киви — вы молодцы, что не тупите и следите за безопасностью своих клиентов не через их взломанные акки, а через эту программу. Спасибо ;)
Во, к месту… ) Интересно, а что с «удаленным выполние кода» почти на всех своих сервисах (где Struts2 стоит — qiwi.ru, visa.qiwi.com, m.qiwi.ru, ishop.qiwi.ru)?

Когда я проверял уязвимость, то она у вас была на всех этих сервисах..., но я как-то не успел написать баг-репорт, так как свои сервисы чинил.

Адвайзори и патч вышли в паблик же 16-го числа… я проверял 17-го… тогда же 17-го вечером, и утром 18-го началась широкомасштабная волна атак из Китая (может раньше), итоги — Самсунг и Аппл получили по рогам, так как не успели зафиксить вовремя) У меня-же в логах полно отпечатков атак, и на ханипоте отметились заливкой бекдора. Вспомнил про Вас… хотел было написать, но вижу — бага зафиксина. Вопрос: как вы нашли багу:

1) Прочитали адвайзори с 16-го числа и зафиксились 18/19го. И вам тупо повезло, что китайцы не успели добраться до вас…
2) По китайской активности — инцидент
3) Кто-то сообщил в баг репорт и получил ревард… и опять таки вы все это успели до китацев с их волной сканов и заливов в районе 18-го/19-го?

Да… немного провокационный вопрос в паблик комментах… согласен, на ответ не надеюсь, понимаю ситуацию… но это более интересная история могла бы быть, мало ли обошлось без неприятностей и по любому эта бага интереснее по импакту, чем трешевые XSS/CSRF и если, например, баг-банути помогла вам обратить внимание на Struts2 раньше Китайцев на несколько часов, то это было бы реально показательно и полезно… )) Ну и если у вас успели побывать плохие ребята, то это конечно то же интересно 8)
Для нас обошлось без неприятностей. Сорри, большего в паблик сказать не могу)
Из условий участия в этой программе:

Участник Программы обязуется не разглашать Конфиденциальную информацию в течение 5 (пяти) лет со дня направления сообщения об Ошибке в адрес Компании.


За что ж так жестоко? Целых 5 лет? А сами-то вот, раскрыли раньше. Не хотите, чтоб они на хабре вместо вас карму получали своими историями?
если в результате нахождения ошибки считали конф. инф-цию клиентов, то 5 лет мало:)
Всегда интересовала юридическая сторона этого вопроса: как заработанные премии оформлять.
Если я, как ИП или ООО хочу организовать премии хакерам за анализ моего сервиса, то как мне это проводить по бухгалтерии?
По идее надо заключать договор подряда.
Договор подряда — это надо брать у «Хакера» данные паспорта и прочее добро. Весело если он окажется не резидентом РФ…
Если багов много и люди разные, то это будет много договоров подряда.
Это прибавляет работы бухгалтерии, да и бывают нюансы, когда хакер несовершеннолетний (у фейсбука вроде этот случай был?). Но результаты программы перекрывают эти недостатки.
Т.е. если я, предположим, несовершеннолетний исследователь отправил вам уязвимость, вы ее подтвердили, и потом оказывается, что мне еще нет 18, могу ли я вывести деньги через банковский счет родственника или все-таки имею право предоставить всю нужную для бухгалтерии информацию и получить деньги на свой банковский счет?
Пока таких случаев не возникало, я не знаю правильного процесса. Но я гарантирую, что в нашем подходе не будет излишней бюрократии и формализма. Найдем такой законный способ оплатить работу, который устроит исследователя.
Большое спасибо за ответ. Два дня назад отправил вам уязвимость, буду ждать ответа!)
Даже спустя две недели ответа на сообщение с уязвимостями я не получил.
У нас хабраэффект начался, прошу понять и простить :)

Ведь уязвимость, до принятия решения об оплате, нужно не только проверить, но и исправить. А ресурсов разработки, как всегда в обрез.

На все присланные уязвимости мы обязательно дадим ответы и выплатим суммы, указанные в прайсе.
Хорошо, спасибо за ответ. Буду ждать подтверждения уязвимости.
Но юридически на каком основании перевод денег? Договор подряда или что? Кто налог платит?
Просто интересно как вы реализовали схему оплаты краудсорсинга в российских условиях.
Многие компании последовали бы вашему примеру, но как это реализовать не ясно.
Можно, наверное как-нибудь через материальную помощь оформить, но будет ли это законно, и прийдётся ли хакеру платить с этого налог.
Что мешает вам, помимо этики, подать заявление в полицию, а не выплатить вознаграждение?
Значительно ли участились попытки взлома? Много кто пытался уничтожить или вывести из строя?
Много что мешает, как минимум, мой здравый смысл и инстинкт самосохранения.

К сожалению, я не смогу вам расссказать про количественные показатели, но, если я верно понял ваш вопрос, то запуск программы этик-хака определенно на количестве и качестве атак сказался.
Наверное, тот, кто нашёл багу, но не смог её раскрутить для вывода средств (или не знал как вывести чтоб потом за попу не взяли) и сообщил об уязвимости. После чего эту багу уже не юзал ни он ни те его знакомые, которым он о ней сообщил. Вот и кол-во атак уменишилось
Ой =) Моя бага с sms.qiwi.ru =) Приятно =)
Имхо. Смешные деньги за найденные баги в платежной системе. Такими суммами вы демотивируете людей помогать вам.
1. за найденные баги на sms.qiwi.ru мне ничего не дали — сказали «домен НЕ участвует в конкурсе», как так? что тогда в посте?

2. отвечаете скупо, редко, не говорите когда что и как будет, про принятые и непринятые баги тоже молчат, мне с кучи репортов и кучи обращений ответили дай бог 2-3 раза, уже недели две как морозитесь :) вопрос — когда?

честно даже не хочется репортить о более серьезных багах с таким отношением
Этот домен действительно не участвует в конкурсе, раньше участвовал, но его убрали задолго до публикации топика. Однако, я признаю, что мы ввели общественность в заблуждение, опубликовав историю о нем. Поэтому, включаем сайт обратно в скоуп.

Все присланные баги по sms.qiwi.ru будут обработаны согласно процедур, описанных на нашем сайте.

Ну а насчет долгого ответа, могу только попросить проявить терпение. Это занимает много времени и ресурсов разработки: в процессе оплаты багов есть условие о том, что баг должен быть устранен на нашей стороне.
понятно, спасибо
Чтобы не было недосказанности — мы обработаем все уязвимости, присланные до 20.08.13 включительно. В скоуп сайт будет включен на условиях, описанных правилах, ждите обновления правил.
а долго кстати будет еще конкурс? или уже заканчивается? есть смысл еще искать? в правилах не видел этого
Конкурс будет долго, смысл искать есть. По сайту sms.qiwi.ru будет уточнение, приниматься будут только высокорискованные уязвимости по индексу OWASP.

Но в скоупе всегда будут основные ресурсы, ну и будем добавлять разные дополнительные из нашей зоны деятельности, но не несущие стратегической ценности.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.