Комментарии 34
Возможно, они уже были в курсе ваших «экспериментов»? Или репорт был анонимный?
+1
Репорт не анонимный, но он был спустя примерно день после обнаружения. Плюс суммы были незначительные, они не могли быть в курсе.
0
они не могли быть в курсе.
Забавно, у вас есть какой-то инсайд из пчелайна? :)
Вообще, они вполне себе могли знать об этом баге, не вы же один такой хитрый. Просто ущерб от него мог быть оценен невысоко. По предварительным расчетам «на коленке» с 1000 рублей можно получить еще порядка 180 (на самом деле — чуть меньше) накрученных денег, если загонять все бонусные рубли, т.е. не больше 20% от исходной суммы. Если возможность реализации была признана невысокой — ущерб был признан небольшим. Каких-то подробностей от меня не ждите — у меня инсайда тем более нет.
0
Бедненько как-то. Я бы за подобный баг хотя бы год какого-нибудь топового безлимитного тарифа оплатил.
+17
В сети давно гуляет эта уязвимость, еще с год назад встречал упоминания.
0
В свое время беглый гуглеж не дал мне ничего конкретного. Если усердно искать, не исключаю, что можно найти. В любом случае о баге если и знали, то знали единицы, и скорее всего просто поторговывали бонусами.
-1
Подобную схему можно провернуть и с какими-нибудь сервисами кешбека. Например возврат за покупки на алиекспресс. Нужно только договориться с продавцом, что он ничего не высылает, а через пару недель делает возврат денег.
0
Мало над билайном поглумились по поводу их Big Data конкурса… теперь еще и их супер-промо-акции раскритиковали… бедный, бедный билайн ))
+1
Простите, я пропустил. А можно пруф?
0
Присоединяюсь, где глум над Big Data?)
+1
DSL88 teamfighter
Да тут ребята на хабре развелкались как могли, кто автосолверу задачу скармливал, кто брутом брал барикады… в итоге конкурс как-то скоропостижно закончился вчера) И есть подозрение, что Билайн свою задачу по хантингу аналитика Big Data не решил этим конкурсом)
habrahabr.ru/post/269745
habrahabr.ru/post/269065
Да тут ребята на хабре развелкались как могли, кто автосолверу задачу скармливал, кто брутом брал барикады… в итоге конкурс как-то скоропостижно закончился вчера) И есть подозрение, что Билайн свою задачу по хантингу аналитика Big Data не решил этим конкурсом)
habrahabr.ru/post/269745
habrahabr.ru/post/269065
+3
Может у них на bug bounty деньги закончились?
Интересно было бы услышать комментарии официального представителя компании, да.
Интересно было бы услышать комментарии официального представителя компании, да.
0
Не хватает самого интересного куска, как изменили условия бонусной программы?
0
По новым условиям платят за траты на услуги связи. Причем гвоздями прибито, что такое услуги связи. Т.е. контент провайдеры и т.п. не считаются услугами связи.
0
прислушаются к моим тикетам о зоне покрытияКогда это случится — сообщите, а то мегафон и мтс игнорируют их абсолютно — перейду на Билайн.
+1
НЛО прилетело и опубликовало эту надпись здесь
Вторую половину статьи про жлобство писал жлоб. Заплатив бонусами за дырку в бонусах они просто пошутили.
0
Вся безопасность Билайна начинается и кончается только на бумаге. Ну и, может быть, ещё в бесполезных конкурсах для специалистов. А по факту остаётся чистейшей профанацией.
Про «банду сотрудников, дублировавших симкарты» уже писали. А я недавно с удивлением узнал, что получив смс о чьём-то входе в свой Личный кабинет, никак нельзя узнать, с какого IP-адреса, региона и устройства это произошло. Даже принудительно закрыть все сессии тоже нельзя. Максимум, что можно — сменить пароль для ЛК, как можно скорее.
Про «банду сотрудников, дублировавших симкарты» уже писали. А я недавно с удивлением узнал, что получив смс о чьём-то входе в свой Личный кабинет, никак нельзя узнать, с какого IP-адреса, региона и устройства это произошло. Даже принудительно закрыть все сессии тоже нельзя. Максимум, что можно — сменить пароль для ЛК, как можно скорее.
+1
Как вариант, это могло быть «ханипотом» — они знали, что есть такой вариант накрутки и могли видеть, кто им пользуется. Вряд ли таких людей было много, но они могли за ними присматривать внимательнее.
0
Продолжая тему теории заговоров… Более вероятно что эта статья — реклама билайна, суть которой показать что билайн, обнаружив баг, может за 1 день изменить всю свою бизнес модель. Еще можно усугубить, предположив, что они сидели с готовым решением с первого дня и ждали этого момента, чтобы так красиво себя показать. Вряд ли все люди, которые хоть что-то понимают в арифметике, находятся за пределами компании.
0
Это не баг, а фича ;-)
Такие лазейки с возвратом постоянно находят у банков и активно ими пользуются, а когда нашедших решают проучить — они становятся поводом для эпичных срачей на банки.ру.
Такие лазейки с возвратом постоянно находят у банков и активно ими пользуются, а когда нашедших решают проучить — они становятся поводом для эпичных срачей на банки.ру.
0
Стандартное решение для всех подобных программ лояльности — ограничение по сумме бонусов, которые можно получить в месяц (т.е. да, схему с киви они бы не закрыли, но смысла в ней было бы уже мало). Странно, что Билайн, внедряя программу лояльности, не учел подобные схемы.
0
Если бы вы не написали, мы бы и дальше продолжали пользоваться..(
А теперь бонусы начисляют только за потраченные на связь средства.
Но есть ЦМ бонус, но правда, не для всех;)
С другой стороны, какая разница, если мне уже больше года половина входящих не проходит?
А теперь бонусы начисляют только за потраченные на связь средства.
Но есть ЦМ бонус, но правда, не для всех;)
С другой стороны, какая разница, если мне уже больше года половина входящих не проходит?
+1
Мда. Ну автор и… лопух, извините за откровенность.
А профит он получил большой. Попав за счёт этой заметки на хаброресурсы. Так что обижаться грех. Не, конечно приятно сразу на два стула сесть, запостив в песочницу материальчик после получения кругленькой суммы, но жизнь такая штука, что не всегда одаривает по максимуму и радоваться надо минимуму.
А профит он получил большой. Попав за счёт этой заметки на хаброресурсы. Так что обижаться грех. Не, конечно приятно сразу на два стула сесть, запостив в песочницу материальчик после получения кругленькой суммы, но жизнь такая штука, что не всегда одаривает по максимуму и радоваться надо минимуму.
(осторожно с лимитами)Ну хоть баги по части лимитов не обнаружили, и на том спасибо :D
-2
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Сказ о том, как Билайн относится к безопасности своих сервисов