Paypal с неохотой выплатил вознаграждение за серьёзный баг 21 июня 2012 года Paypal присоединился к числу компаний, которые платят хакерам за найденные уязвимости. Учитывая характер веб-сервиса Paypal — финансовые транзакции — можно было предположить, что они более внимательно отнесутся к найденным багам, чем какой-нибудь Google, и предложат бóльшую награду за уязвимости. На практике всё оказалось иначе. Хакер из l8security рассказал увлекательную историю в скриншотах, как он искал уязвимость в Paypal. Традиционно, такая работа начинается в хакерском поисковике shodanhq.com с логичного запроса “admin paypal”. Среди результатов поиска он увидел URL’ы с содержанием stageXmbXXX. Это явное указание на то, что staging netbloc у Paypal публично доступен. Дело точно пахло керосином. Вооружившись Хакбаром для Firefox, автор начал пробовать разные логины для авторизации. Например, как видно на скриншоте, при авторизации под логином lsmith система распознала его как Lori Smith. Небольшой поиск Google позволил найти подробнейшую информацию об этой админской панели, включая юридический документ со скриншотами http://docs.justia.com/cases/federal/district-courts/florida/flsdce/1:2011cv20427/373206/113/2.pdf?ts=1312461865 (pdf). Стало ясно, что тут не просто XSS, а серьёзная дыра, и за неё Paypal может заплатить больше стандартных $500. которые дают за XSS. Хакер составил отчёт 29 июня и хотел отправить его в Paypal, но оказалось, что PGP-ключ Paypal опубликован с истёкшим сроком действия. Так что пришлось писать в компанию с просьбой выслать новый ключ. Через неделю они выслали его персонально, так что 5 июля хакер смог подписать и отправить отчёт. 19 июля он получил автоматическое сообщение о получении письма. 7 августа — ещё одно автоматическое сообщение о том, что делу присвоен статус “invalid” и оно закрыто. Хакер немедленно написал в Paypal с вопросом, может ли он теперь опубликовать отчёт об уязвимости в своём блоге? На следующий день ему быстро прислали ответ, что дело было закрыто, потому что исследователь не смог повторить описанную процедуру, а дело просто переклассифицировали в другую категорию. Наконец, 21 августа пришло не автоматическое, а вручную написанное письмо от человека, который признал наличие уязвимости и пообещал выплатить вознаграждение после того, как её закроют. 29 августа наконец-то пришёл перевод за «уязвимость XSS». В итоге, хакер остался крайне недоволен сотрудничеством с Paypal и не рекомендует коллегам иметь дело с этой компанией. 19.10.2012 http://www.xakep.ru/post/59506/
,,без лоха и жизнь плоха,, вывод с твоих слов такой : ищем уязвимости продаем по дороже , используем в своих целях дабы выжать по максимуму , . - вот тут поговорка будет уже не в сторону хацкера на оборот донора таким образом они задумаются платить или нет ))
Было бы интересно когда на майн пейдже была бы надпись 404 not fount, or server unvaliable и со связки заливало с 99% пробива Псоле всего этого попросить у них 500 бачей Ну ладно то я шучю, как то дело было, вообщем тут у мя серваки похекали ооочнь крупного хостера, до миллионов сайтов где то - форумы просто вскепели - так как антивирус вроде не палил ниче дня 4 - а потом гугл всех в бан занес типа малвари я еще тут писал об этом - вот то кто то на уязвимости профит получил
Недовольство есть, первый блин комом, но никто никого не кидает, что за предъявы ниоткуда? Лично знаю безопасников Яндекса, кидать они никого не собираются, просто не очень налажен процесс. День, ночь, неделя, месяц, "спасибо"?... 1 минута поиска и подтверждение на 5К р -- это то, что у меня. Потом ещё пару часов покопался, ещё не подтвердили, ибо у них завал баг-репортами. И кстати, некоторым уже и заплатили. Так что твоё метание говном -- пустое махание руками. Выслуживаться? Ты с дубу рухнул что ли? =) Мне, например, интересно копать что угодно, хоть за бесплатно, было бы время. А тут ещё и объект интересный, и деньги дают. +это ещё и вложение в репутацию, если в долгосрочной перспективе открытия своего дела смотреть.
Был вор вася, помог бабушке перейти улицу, что далее? Был хакер амар, помог компании яндекс.. Найт ты теряешь реальнось своими загонами, кому интерес, кому прибыль, кому репутация, какая разница за счет чего или кого. Хакер это же пффф одно название, как и законы воровские..живут как хотят и могут, чего там говорить то..
Что-то не видел чтоб на рдоте прославляли груп-иб и кричали о том, что хакеров надо сажать. Те же люди, занимаются теми же делами, только в другом правовом поле. Что касается меня и многих других, кто участвует в подобных reward-программах, так мы и блеком-то не занимались по большому счёту. Так что не знаю, о каких таких мифических предателях "воровской хартии" и о каком "выслуживании" ты говоришь.
вор и хакер не одно и тоже, как и вандал и хакер не одно и тоже. и груп-иб ни хакеры ни антихакеры, а скорее мошенники, потому как по сути ничего не делая кроме придумывания каких то "фактов", делая умный вид, берут с компаний лавандос, полагаясь на некомпетентность, покупателей их услуг, это как ребята из начала 2000ых устанавливающих виндавс и гта за 500 рублей.
Nightmare, солидарен. И только потому-что между "хакером" и "добросовестным гражданином" очень тонкая граница. Я бы сказал, что хакеры превращаются в паинек, только после того, как их берут на учет и/или забирают спец.службы под свое крыло. К тому-же примеров на ачате хватает. Ребзю на радио помним, любим, скорбим
Эм, а факты есть? Список уголовных дел, которые завели на невинных овечеек по инициативе груп-иб? Я ничего этого не видел, и на груп-иб мне просто плевать. Да, есть некоторое отрицательное отношение, но оно в основном подкреплено чужими отзывами в том же топике, например. Но, собственно, здесь не об этой компании речь. И считаю, что ты просто помешан на каких-то дешёвых понятиях уголовных и пытаешься всюду найти подвох. И-и? Занимались, я как бы это и сказал. Блек -- это хак-бизнес, взлом ачата блеком не считаю, ломал обычно из спортивного интереса. Яндекс -- одна из лучших технологических компаний России, которая очень много сделала для образования (что я ценю в первую очередь). Люди там работают вполне достойные, поэтому твоё откровенно презрительное отношение к ней может наводить лишь на мысли о том, что проблема в тебе. Может у тебя просто что-то не получается, не? И ты пытаешься найти врага. Сам я никогда хакинг не осуждал (это было бы по меньшей мере глупо оО), но не понимал каких-то моралистских обсуждений. И писал про ачат "о какой морали может идти речь на хакерском форуме"? Это касается бизнеса, который очень часто наносит прямой вред людям. Если ты считаешь, что морально правильнее использовать пассивки на яндексе чтоб тырить аккаунты простых юзеров и рассылать с них спам о некачественном товаре (например), а не получить деньги за сообщение о баге, то и не знаю, что сказать.
Лучше бы кардерам за 5-10 тысяц $ продал . А может и дороже. У PayPal были бы более большие убытки, а им денег жалко.
Nightmarе, кстати, подкинь линков на блоги, где обсирают хакеров и говорят, что их надо сажать. Почитаю. Эм, причём здесь свои или чужие? Я говорю о коммерческом взломе и о взломе из интереса, к коему относится и похек онтечада. Не понял, ты это в ироничном, отрицательном ключе говоришь или в положительном. А ничего, что это бизнес? Точно так же, как бизнес -- твои взломы. Только их сфера бизнеса является конкурентной твоей, отсюда твоя реакция. Всё ж гораздо проще, никаких теорий заговора нет. Ты здесь одним махом чернишь людей, которые просто занимаются любимым делом в каких-то ИБ-компаниях. Ненавидишь Сачкова -- выскажи это ему, твой пустой негатив просто никому не нужен. И не строй из себя такого героя-одиночку, на том же рдоте в том топике с тобой вообще-то многие согласились, что за чушь ты несёшь по поводу того, что там их все поддерживают? Надо разделять бизнес и людей, которые в этом бизнесе замешаны. Человек может заниматься, условно говоря, реверсом малварей, и не иметь никакого отношения к каким-то поимкам "хакеров". Прямо как малыш обижаешься на бан.
Nightmarе, я прекрасно это понимаю и шёл на риск осознанно. ЛК -- это компания, исследователи по-видимому нанесли ей ущерб (не знаю вообще-то ситуации, просто предполагаю). Можно долго обсуждать моральные аспекты написания заявы, но очевидно же, что исследователи тоже осознанно пошли на риск и осознанно нанесли ущерб. Так что всё по законам рынка, ты как-будто полжизни в розовых очках ходил.. И да, подкинь всё-таки линков на блоги предателей.
Nightmarе, ппц, вообще-то вся желчь от тебя. Ты начал разговор в этом топике с того, что назвал нас дураками, ок? Всех просто раздражает то, что ты помешан на негативе и желчи, скандалы раздуваешь как раз ты. Зоновская тема идёт от тебя, потому что ты придаёшь какой-то пафос обычному криминалу, коим являются многие сферы хак-биза, и с неестественной злобой и яростью относишься к тем, кто не с тобой. Ты имеешь в виду людей, которые сами блечили, а теперь говорят, что таких надо сажать? А кто к таким хорошо относится? Я лишь попросил показать, кто это. И не для того чтобы скандалы раздувать, я и правда таких не знаю. Знаю тех, кто тихо и мирно блечит, а теперь работает на белые конторы. Такая смена взглядов только с лучшей стороны человека показывает.
Да Касперскому на вас поебать, он просто хочет быть в тренде. Тренд сейчас такой, что хакеры плохие, вот он и выслуживается перед общественным мнением. Понятно, что преследовать хакеров будут все более жестко из-за возрастающей информатизации общества, сами посмотрите, какой вред системе мог нанести хакер в каком-нидь 1995 году и сейчас. Nightmarе, ты слишком экзальтирован. Ну а ты ёпт кто такой по жизни чтоб кого-то осуждать? Ну поменяли они взгляды, бывает. Ты тоже свои поменяй если завидуешь
Nightmarе, я тоже зарабатывал на жизнь взломом... Продавал шеллы, только надоело мне это... Сейчас, я не спорю, если попадется какой-либо(в разумных пределах) вкусный ресурс - продам, но целенаправленно их искать я не хочу... Хотя, когда надо денежек... Ну ты меня понимаешь))) Хакер, который работает по блек-теме ничем не отличается от вора или гопника... Как гопник отжимает мобилу так и хакер отжимает бабло с кредитки или заливает дор на сайт, который другой человек взращивал годами... Мне надоело, сейчас я могу! заработать по другому, не обманывая, не воруя чужие наработки, просто заработать честно... Root-access, все течет, все меняется и это правильно Я не вижу смысла оправдываться за что-либо, ровно как и Nightmarе ... Так что и тебе не следует Вы выросли в одной песочнице (ачат), так зачем сраться, тем более из-за пустяка... P.S. По поводу темы, хакеру везет, мне еще ни разу даже копейки не дали, хотя с владельцев тех сайтов и бы и не взял... Да, за идею наживы на лохах, которые сами поставят себе ддос-бота))) А что хорошего? Кстати, спам дико ненавижу, честно, просто не перевариваю... Никогда им не занимался и заниматься не буду... Взлом это другое, взлом это процесс творческий, по началу это был спорт, это было доказательство своих возможностей... Сейчас, для меня, это уже просто заработок, который очень поднадоел... Хотел устроиться в positive tec., но не хочу в Мск переезжать, а на удаленку не берут(
Ключ ты и задал. В духе того, что яндексоиды молодцы, что нам бабла не дают, чтоб мы, "лохи", знали, как всем на нас плевать. Говорю в грубой форме, но посыл был именно такой, ты это и подтвердил только что. Цитата из твоего первого поста: Это ок по-твоему? Ты сказал, что я дурак и прислуживаюсь яндексу. А теперь ещё и отрицаешь, что говорил это. Ок, тоже знаю некоторых, но просто не замечал от них каких-то нападок на хакерское коммьюнити. Вот серьёзно, о том, что кто-то хреново высказывается, узнаю только от тебя в этих топиках, к чему бы это? Нигде не вижу в твитах, блогах (ну может и видел пару раз, не помню). Насчёт Сачкова пример помню, не спорю (но видео смотреть влом). Угу, всё на твой взгляд. Мб была некоторая агрессия с моей стороны, но во-первых я пояснил её причину выше, а во-вторых -- такие срачи с тобой вроде не в первый раз (просто я не участвовал).