Как стать автором
Обновить

Комментарии 15

Им повезло, что вы не такой как хакер из известного анекдота про солонки.
На случай, если кто-то не читал :)
Хакер в столовой
автор: Журнал «Хакер»

Дек 16, 2006

День первый
Хакер приходит в общественную столовую и с возмущением обнаруживает, что солонку на столе может открутить кто попало и насыпать туда что угодно. Хакер приходит домой и пишет гневное письмо директору столовой: «Я, meG@Duc, обнаружил уязвимость солонки в Вашей столовой. Злоумышленник может вскрыть солонку и насыпать туда яду! Примите меры срочно!»

День второй
Директор среди прочих деловых писем, запросов о поставках еды и курьерских уведомлений получает письмо, и пожимает плечами: «Кому этот бред только в голову пришёл?»

День пятый
Хакер приходит в столовую, насыпает во все солонки яду. Погибает триста человек, директора три месяца таскают по судам и, в конце концов, оправдывают за отсутствием состава преступления. Хакер пишет письмо в стиле «ну что, видали?».

День 96-ой
Директор покупает специально спроектированные солонки с кодовым замком. Посетители столовой чувствуют, что они в этой жизни чего-то не понимают.

День 97-ой
Хакер обнаруживает, что дырки в солонках пропускают соль в обе стороны. И не только соль, а вообще всё, что угодно. Он пишет возмущенное письмо директору и ссыт во все солонки столовой. Триста человек перестают посещать эту столовую вообще, тридцать попадают в больницы с отравлением. Хакер вдогонку посылает директору смс-ку «Ну как вам?». Директора тем временем три месяца таскают по судам и дают год условно.

День 188-ой
Директор столовой клянется в жизни больше не работать ни в одной столовой, а тихо-мирно грузить лес в Сибири. Инженеры работают над новой солонкой с односторонним клапаном. Официантки тем временем изымают все старые солонки и раздают соль вручную.

День 190-ый
Хакер тырит солонку из столовой и изучает дома её устройство. Пишет гневное письмо директору: «Я, meG@Duc, стырил солонку и нахожу этот факт возмутительным! Любой может стырить солонку из Вашей столовой!» До этого непьющий директор читает письмо, идет домой и выпивает водки.

День 193-ый
Хакер обнаруживает, что все солонки в столовой прибиты цепями к столам. Он приезжает на очередной хакерский СПРЫГ и докладывает о своих успехах, получая там заслуженную награду за защиту интересов общества и потребителя. К счастью, директор ничего про это не знает и не сопьется раньше времени.

День 194-ый
В рамках дьявольски гениально продуманной операции хакеры всем СПРЫГом вламываются в столовую и высыпают соль из всех солонок себе в карманы. Хакер meG@Duc пишет
возмущенное письмо директору, намекая на то, что никакой заботы о посетителях в столовой нет и любой гад может лишить честных людей соли в одно мгновение. Дозатор соли с авторизацией необходим просто позарез.

Инженеры в поте лица работают над новой солонкой, пока официантки опять раздают соль вручную. Директор уезжает в отпуск на
Сейшельские острова и обедает только в номере, избегая столовых, ресторанов и баров.

День 200-ый
Посетители столовой с ужасом находят, что, чтобы насыпать соли, они должны подойти к официанту, предьявить паспорт, получить специальный 8-значный одноразовый код к солонке. Для получения перца процедуру следует повторить.

Ну что тут скажешь? Школьники с fl.ru сдали проект в срок
отблагодарили меня суммой в… 200 гривен ($8,5). Что ж…

А что вы хотели от компании с гордым названием «Платегка»?
А в белорусских рублях это было бы 150000!
Так что в итоге ваших обращений — они пофиксили уязвимость?
Странно, что так мало заплатили. За утечку данных о держателях карт штрафы и выплаты намного выше :)
отблагодарили меня суммой в… 200 гривен ($8,5). Что ж…
Если для вас была важна сумма вознаграждения, то вы не туда сообщили о уязвимости :-)
Интересно, Валентину Аверину из компании SYSNET Global Solutions не стыдно за проведенный PCI DSS?
Вот так Judgin восемь лет на Хабре молчал-молчал, молчал-молчал, а потом пришёл и первым же комментарием сломал человеку карьеру. Headshot!
Да, я злой, терпеливый и молчаливый бот. До встречи через 8 лет=)
Стыдно должно быть тем, кто делал тест на проникновение в рамках PCI DSS и отчет писал.
восемь с половиной долларов за XSS?

За то, чтобы вы успокоились, не писали статью и не проверяли потом статус.
Вероятно это работает, раз так делают. А они зато могут ставить этим багам низкий приоритет.
Сумма конечно невелика, но ведь с тем же успехом — денег могли вообще не заплатить. Вы же занимаетесь этим на добровольных началах, соответственно такой исход не должен удивлять, разве нет?
Как уже написали выше, штрафы за такое — достаточно велики. И имхо нормально — это заплатить нормальную сумму (фактически за молчание) либо сразу предложить контракт на проведение аудита. Потому что сейчас автор может анонимно выложить в паблик слитую инфу по картам-именам и подать жалобу на сервис за слитую инфу.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории