Paypal с неохотой выплатил вознаграждение за серьёзный баг

Discussion in 'Мировые новости. Обсуждения.' started by Solitude, 19 Oct 2012.

  1. Solitude

    Solitude Member

    Joined:
    29 Aug 2011
    Messages:
    445
    Likes Received:
    23
    Reputations:
    1
    Paypal с неохотой выплатил вознаграждение за серьёзный баг

    21 июня 2012 года Paypal присоединился к числу компаний, которые платят хакерам за найденные уязвимости. Учитывая характер веб-сервиса Paypal — финансовые транзакции — можно было предположить, что они более внимательно отнесутся к найденным багам, чем какой-нибудь Google, и предложат бóльшую награду за уязвимости. На практике всё оказалось иначе.

    Хакер из l8security рассказал увлекательную историю в скриншотах, как он искал уязвимость в Paypal. Традиционно, такая работа начинается в хакерском поисковике shodanhq.com с логичного запроса “admin paypal”. Среди результатов поиска он увидел URL’ы с содержанием stageXmbXXX. Это явное указание на то, что staging netbloc у Paypal публично доступен. Дело точно пахло керосином. Вооружившись Хакбаром для Firefox, автор начал пробовать разные логины для авторизации. Например, как видно на скриншоте, при авторизации под логином lsmith система распознала его как Lori Smith.

    [​IMG]

    Небольшой поиск Google позволил найти подробнейшую информацию об этой админской панели, включая юридический документ со скриншотами http://docs.justia.com/cases/federal/district-courts/florida/flsdce/1:2011cv20427/373206/113/2.pdf?ts=1312461865 (pdf).

    Стало ясно, что тут не просто XSS, а серьёзная дыра, и за неё Paypal может заплатить больше стандартных $500. которые дают за XSS.

    Хакер составил отчёт 29 июня и хотел отправить его в Paypal, но оказалось, что PGP-ключ Paypal опубликован с истёкшим сроком действия. Так что пришлось писать в компанию с просьбой выслать новый ключ. Через неделю они выслали его персонально, так что 5 июля хакер смог подписать и отправить отчёт. 19 июля он получил автоматическое сообщение о получении письма. 7 августа — ещё одно автоматическое сообщение о том, что делу присвоен статус “invalid” и оно закрыто. Хакер немедленно написал в Paypal с вопросом, может ли он теперь опубликовать отчёт об уязвимости в своём блоге? На следующий день ему быстро прислали ответ, что дело было закрыто, потому что исследователь не смог повторить описанную процедуру, а дело просто переклассифицировали в другую категорию. Наконец, 21 августа пришло не автоматическое, а вручную написанное письмо от человека, который признал наличие уязвимости и пообещал выплатить вознаграждение после того, как её закроют. 29 августа наконец-то пришёл перевод за «уязвимость XSS».

    В итоге, хакер остался крайне недоволен сотрудничеством с Paypal и не рекомендует коллегам иметь дело с этой компанией.

    19.10.2012
    http://www.xakep.ru/post/59506/​
     
  2. cLauZ

    cLauZ Member

    Joined:
    22 Oct 2009
    Messages:
    339
    Likes Received:
    27
    Reputations:
    5
    Хм...Сколько ему интересно всё таки эти жмоты заплатили...
     
  3. m0ln@r

    m0ln@r New Member

    Joined:
    21 Nov 2011
    Messages:
    23
    Likes Received:
    2
    Reputations:
    0
    Думаю точно менше 500$.
     
  4. dupD0M

    dupD0M Elder - Старейшина

    Joined:
    18 May 2010
    Messages:
    1,142
    Likes Received:
    73
    Reputations:
    34
    я думаю он это в своем блоге опишит,осталось его только найти ;)
     
  5. Чакэ

    Чакэ Elder - Старейшина

    Joined:
    15 Aug 2010
    Messages:
    260
    Likes Received:
    65
    Reputations:
    62
    вот и делай после этого добро людям.
     
  6. теща

    теща Экстрасенс

    Joined:
    14 Sep 2005
    Messages:
    2,040
    Likes Received:
    500
    Reputations:
    285
    ,,без лоха и жизнь плоха,,
    вывод с твоих слов такой : ищем уязвимости продаем по дороже , используем в своих целях дабы выжать по максимуму , . - вот тут поговорка будет уже не в сторону хацкера на оборот донора ;)
    таким образом они задумаются платить или нет ))
     
  7. Adio

    Adio Elder - Старейшина

    Joined:
    23 May 2005
    Messages:
    1,676
    Likes Received:
    145
    Reputations:
    18
    Было бы интересно когда на майн пейдже была бы надпись 404 not fount, or server unvaliable и со связки заливало с 99% пробива :D Псоле всего этого попросить у них 500 бачей :D
    Ну ладно то я шучю, как то дело было, вообщем тут у мя серваки похекали ооочнь крупного хостера, до миллионов сайтов где то - форумы просто вскепели - так как антивирус вроде не палил ниче дня 4 - а потом гугл всех в бан занес типа малвари я еще тут писал об этом - вот то кто то на уязвимости профит получил :(
     
  8. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    194
    Likes Received:
    195
    Reputations:
    91

    Недовольство есть, первый блин комом, но никто никого не кидает, что за предъявы ниоткуда?
    Лично знаю безопасников Яндекса, кидать они никого не собираются, просто не очень налажен процесс.

    День, ночь, неделя, месяц, "спасибо"?...

    1 минута поиска и подтверждение на 5К р -- это то, что у меня. Потом ещё пару часов покопался, ещё не подтвердили, ибо у них завал баг-репортами.

    И кстати, некоторым уже и заплатили.

    Так что твоё метание говном -- пустое махание руками.

    Выслуживаться? Ты с дубу рухнул что ли? =) Мне, например, интересно копать что угодно, хоть за бесплатно, было бы время. А тут ещё и объект интересный, и деньги дают.
    +это ещё и вложение в репутацию, если в долгосрочной перспективе открытия своего дела смотреть.
     
  9. tipahead

    tipahead Banned

    Joined:
    25 Aug 2012
    Messages:
    13
    Likes Received:
    2
    Reputations:
    0
    Был вор вася, помог бабушке перейти улицу, что далее? Был хакер амар, помог компании яндекс..
    Найт ты теряешь реальнось своими загонами, кому интерес, кому прибыль, кому репутация, какая разница за счет чего или кого. Хакер это же пффф одно название, как и законы воровские..живут как хотят и могут, чего там говорить то..
     
    #9 tipahead, 20 Oct 2012
    Last edited: 20 Oct 2012
  10. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    194
    Likes Received:
    195
    Reputations:
    91


    Что-то не видел чтоб на рдоте прославляли груп-иб и кричали о том, что хакеров надо сажать.
    Те же люди, занимаются теми же делами, только в другом правовом поле.

    Что касается меня и многих других, кто участвует в подобных reward-программах, так мы и блеком-то не занимались по большому счёту.

    Так что не знаю, о каких таких мифических предателях "воровской хартии" и о каком "выслуживании" ты говоришь.
     
  11. Dyxxx

    Dyxxx Elder - Старейшина

    Joined:
    16 Feb 2009
    Messages:
    106
    Likes Received:
    153
    Reputations:
    24
    вор и хакер не одно и тоже, как и вандал и хакер не одно и тоже.
    и груп-иб ни хакеры ни антихакеры, а скорее мошенники, потому как по сути ничего не делая кроме придумывания каких то "фактов", делая умный вид, берут с компаний лавандос, полагаясь на некомпетентность, покупателей их услуг, это как ребята из начала 2000ых устанавливающих виндавс и гта за 500 рублей.
     
  12. Billar

    Billar Banned

    Joined:
    9 Jul 2012
    Messages:
    15
    Likes Received:
    5
    Reputations:
    5
    Nightmare, солидарен. И только потому-что между "хакером" и "добросовестным гражданином" очень тонкая граница.
    Я бы сказал, что хакеры превращаются в паинек, только после того, как их берут на учет и/или забирают спец.службы под свое крыло.

    К тому-же примеров на ачате хватает. Ребзю на радио помним, любим, скорбим
     
  13. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    194
    Likes Received:
    195
    Reputations:
    91
    Эм, а факты есть? Список уголовных дел, которые завели на невинных овечеек по инициативе груп-иб?
    Я ничего этого не видел, и на груп-иб мне просто плевать. Да, есть некоторое отрицательное отношение, но оно в основном подкреплено чужими отзывами в том же топике, например. Но, собственно, здесь не об этой компании речь.

    И считаю, что ты просто помешан на каких-то дешёвых понятиях уголовных и пытаешься всюду найти подвох.


    И-и? Занимались, я как бы это и сказал.

    Блек -- это хак-бизнес, взлом ачата блеком не считаю, ломал обычно из спортивного интереса.


    Яндекс -- одна из лучших технологических компаний России, которая очень много сделала для образования (что я ценю в первую очередь).

    Люди там работают вполне достойные, поэтому твоё откровенно презрительное отношение к ней может наводить лишь на мысли о том, что проблема в тебе.


    Может у тебя просто что-то не получается, не? И ты пытаешься найти врага.


    Сам я никогда хакинг не осуждал (это было бы по меньшей мере глупо оО), но не понимал каких-то моралистских обсуждений. И писал про ачат "о какой морали может идти речь на хакерском форуме"? Это касается бизнеса, который очень часто наносит прямой вред людям.

    Если ты считаешь, что морально правильнее использовать пассивки на яндексе чтоб тырить аккаунты простых юзеров и рассылать с них спам о некачественном товаре (например), а не получить деньги за сообщение о баге, то и не знаю, что сказать.
     
  14. vitya1599

    vitya1599 New Member

    Joined:
    24 Nov 2011
    Messages:
    23
    Likes Received:
    4
    Reputations:
    0
    Лучше бы кардерам за 5-10 тысяц $ продал :). А может и дороже. У PayPal были бы более большие убытки, а им денег жалко.
     
  15. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    194
    Likes Received:
    195
    Reputations:
    91
    Nightmarе, кстати, подкинь линков на блоги, где обсирают хакеров и говорят, что их надо сажать. Почитаю.

    Эм, причём здесь свои или чужие? Я говорю о коммерческом взломе и о взломе из интереса, к коему относится и похек онтечада.

    Не понял, ты это в ироничном, отрицательном ключе говоришь или в положительном.


    А ничего, что это бизнес? Точно так же, как бизнес -- твои взломы. Только их сфера бизнеса является конкурентной твоей, отсюда твоя реакция. Всё ж гораздо проще, никаких теорий заговора нет.

    Ты здесь одним махом чернишь людей, которые просто занимаются любимым делом в каких-то ИБ-компаниях.

    Ненавидишь Сачкова -- выскажи это ему, твой пустой негатив просто никому не нужен.
    И не строй из себя такого героя-одиночку, на том же рдоте в том топике с тобой вообще-то многие согласились, что за чушь ты несёшь по поводу того, что там их все поддерживают?

    Надо разделять бизнес и людей, которые в этом бизнесе замешаны. Человек может заниматься, условно говоря, реверсом малварей, и не иметь никакого отношения к каким-то поимкам "хакеров".


    Прямо как малыш обижаешься на бан.
     
    #15 Root-access, 20 Oct 2012
    Last edited: 20 Oct 2012
  16. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    194
    Likes Received:
    195
    Reputations:
    91
    Nightmarе, я прекрасно это понимаю и шёл на риск осознанно.

    ЛК -- это компания, исследователи по-видимому нанесли ей ущерб (не знаю вообще-то ситуации, просто предполагаю).
    Можно долго обсуждать моральные аспекты написания заявы, но очевидно же, что исследователи тоже осознанно пошли на риск и осознанно нанесли ущерб.
    Так что всё по законам рынка, ты как-будто полжизни в розовых очках ходил..


    И да, подкинь всё-таки линков на блоги предателей.
     
  17. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    194
    Likes Received:
    195
    Reputations:
    91
    Nightmarе, ппц, вообще-то вся желчь от тебя. Ты начал разговор в этом топике с того, что назвал нас дураками, ок?

    Всех просто раздражает то, что ты помешан на негативе и желчи, скандалы раздуваешь как раз ты.

    Зоновская тема идёт от тебя, потому что ты придаёшь какой-то пафос обычному криминалу, коим являются многие сферы хак-биза, и с неестественной злобой и яростью относишься к тем, кто не с тобой.


    Ты имеешь в виду людей, которые сами блечили, а теперь говорят, что таких надо сажать?
    А кто к таким хорошо относится? Я лишь попросил показать, кто это. И не для того чтобы скандалы раздувать, я и правда таких не знаю.
    Знаю тех, кто тихо и мирно блечит, а теперь работает на белые конторы. Такая смена взглядов только с лучшей стороны человека показывает.
     
  18. fl00der

    fl00der Moderator

    Joined:
    17 Dec 2008
    Messages:
    1,105
    Likes Received:
    305
    Reputations:
    86
    Да Касперскому на вас поебать, он просто хочет быть в тренде.
    Тренд сейчас такой, что хакеры плохие, вот он и выслуживается перед общественным мнением.
    Понятно, что преследовать хакеров будут все более жестко из-за возрастающей информатизации общества, сами посмотрите, какой вред системе мог нанести хакер в каком-нидь 1995 году и сейчас.

    Nightmarе, ты слишком экзальтирован.
    Ну а ты ёпт кто такой по жизни чтоб кого-то осуждать?
    Ну поменяли они взгляды, бывает. Ты тоже свои поменяй если завидуешь :)
     
    _________________________
    #18 fl00der, 20 Oct 2012
    Last edited: 20 Oct 2012
  19. z0mbyak

    z0mbyak Active Member

    Joined:
    10 Apr 2010
    Messages:
    544
    Likes Received:
    203
    Reputations:
    293
    Nightmarе, я тоже зарабатывал на жизнь взломом... Продавал шеллы, только надоело мне это... Сейчас, я не спорю, если попадется какой-либо(в разумных пределах) вкусный ресурс - продам, но целенаправленно их искать я не хочу... Хотя, когда надо денежек... Ну ты меня понимаешь)))
    Хакер, который работает по блек-теме ничем не отличается от вора или гопника... Как гопник отжимает мобилу так и хакер отжимает бабло с кредитки или заливает дор на сайт, который другой человек взращивал годами... Мне надоело, сейчас я могу! заработать по другому, не обманывая, не воруя чужие наработки, просто заработать честно...

    Root-access, все течет, все меняется и это правильно ;) Я не вижу смысла оправдываться за что-либо, ровно как и Nightmarе ... Так что и тебе не следует :)
    Вы выросли в одной песочнице (ачат), так зачем сраться, тем более из-за пустяка...

    P.S. По поводу темы, хакеру везет, мне еще ни разу даже копейки не дали, хотя с владельцев тех сайтов и бы и не взял...
    Да, за идею наживы на лохах, которые сами поставят себе ддос-бота)))

    А что хорошего? Кстати, спам дико ненавижу, честно, просто не перевариваю... Никогда им не занимался и заниматься не буду... Взлом это другое, взлом это процесс творческий, по началу это был спорт, это было доказательство своих возможностей... Сейчас, для меня, это уже просто заработок, который очень поднадоел... Хотел устроиться в positive tec., но не хочу в Мск переезжать, а на удаленку не берут(
     
    #19 z0mbyak, 20 Oct 2012
    Last edited: 20 Oct 2012
  20. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    194
    Likes Received:
    195
    Reputations:
    91
    Ключ ты и задал. В духе того, что яндексоиды молодцы, что нам бабла не дают, чтоб мы, "лохи", знали, как всем на нас плевать. Говорю в грубой форме, но посыл был именно такой, ты это и подтвердил только что.
    Цитата из твоего первого поста:
    Это ок по-твоему? Ты сказал, что я дурак и прислуживаюсь яндексу. А теперь ещё и отрицаешь, что говорил это.

    Ок, тоже знаю некоторых, но просто не замечал от них каких-то нападок на хакерское коммьюнити.

    Вот серьёзно, о том, что кто-то хреново высказывается, узнаю только от тебя в этих топиках, к чему бы это? Нигде не вижу в твитах, блогах (ну может и видел пару раз, не помню). Насчёт Сачкова пример помню, не спорю (но видео смотреть влом).

    Угу, всё на твой взгляд. Мб была некоторая агрессия с моей стороны, но во-первых я пояснил её причину выше, а во-вторых -- такие срачи с тобой вроде не в первый раз (просто я не участвовал).
     
Loading...