• XSS.stack #1 – первый литературный журнал от юзеров форума

Убыточный эксплоит и "шантаж" сайта

Отслеживать

LIGUL

RAID-массив
Пользователь
Регистрация
04.05.2023
Сообщения
69
Реакции
35
Всему форуму низкий поклон.
Нашёл я значит уязвимость на одном сервисе. Белым хакером, и уж тем более просто хакером я себя не считаю, слишком громкий титул. В использовании простая, любой школьник разберется, и в случае использования и публикации в сети, сервис понесёт миллионные убытки, а может и больше.
Написал сервису в техподдержку. Несколько дней тишина, потом попросили рассказать подробнее. Попросил контакты менеджера/тех.отдела - игнор. Написал снова - дали почту сайта, пошёл стучаться на почту.
На почте спросили мои контакты для связи, оставил контакты и уже неделю тишина. Довольно возмутительно, для человека, решившего сделать благое дело, ждать неделю без приветов и ответов, имея на руках эксплоит, который может доставить серьёзные проблемы монополисту. Причём вежливо написал, без угроз и без реквизитов на которые нужно отправить 100 биткоинов в течение 6 часов:)
Обычно, в таких ситуациях, даже сервисы поменьше, идут на контакт и оперативно отвечают. А тут люди молчат, не демонстрируют никакой заинтересованности. А я ведь уже скоро могу не выдержать и слить эксплоит сюда...

Уважаемые друзья форумчане, что посоветуете сделать? Хотелось бы с них немножко бакинских стрясти за такую-то информацию
 
LIGUL сказал(а):
Всему форуму низкий поклон.
Нашёл я значит уязвимость на одном сервисе. Белым хакером, и уж тем более просто хакером я себя не считаю, слишком громкий титул. В использовании простая, любой школьник разберется, и в случае использования и публикации в сети, сервис понесёт миллионные убытки, а может и больше.
Написал сервису в техподдержку. Несколько дней тишина, потом попросили рассказать подробнее. Попросил контакты менеджера/тех.отдела - игнор. Написал снова - дали почту сайта, пошёл стучаться на почту.
На почте спросили мои контакты для связи, оставил контакты и уже неделю тишина. Довольно возмутительно, для человека, решившего сделать благое дело, ждать неделю без приветов и ответов, имея на руках эксплоит, который может доставить серьёзные проблемы монополисту. Причём вежливо написал, без угроз и без реквизитов на которые нужно отправить 100 биткоинов в течение 6 часов:)
Обычно, в таких ситуациях, даже сервисы поменьше, идут на контакт и оперативно отвечают. А тут люди молчат, не демонстрируют никакой заинтересованности. А я ведь уже скоро могу не выдержать и слить эксплоит сюда...

Уважаемые друзья форумчане, что посоветуете сделать? Хотелось бы с них немножко бакинских стрясти за такую-то информацию
как ты думаешь, эта уяза затрагивает какой то framework(с большим комьюнити) который использует этот сайт? или это уяза именно только их сервиса?
 
mike123321 сказал(а):
как ты думаешь, эта уяза затрагивает какой то framework(с большим комьюнити) который использует этот сайт? или это уяза именно только их сервиса?
Уяза только их сервиса, в беке сайта. Если кто угодно её будет использовать - моментальные денежные убытки для сайта
 
LIGUL сказал(а):
А если её в сеть слить, то моментально стекутся тысячи любителей халявы, которые от казны сервиса оставят выжженную землю
Мы уже тут, ждем ))
 
LIGUL сказал(а):
Всему форуму низкий поклон.
Нашёл я значит уязвимость на одном сервисе. Белым хакером, и уж тем более просто хакером я себя не считаю, слишком громкий титул. В использовании простая, любой школьник разберется, и в случае использования и публикации в сети, сервис понесёт миллионные убытки, а может и больше.
Написал сервису в техподдержку. Несколько дней тишина, потом попросили рассказать подробнее. Попросил контакты менеджера/тех.отдела - игнор. Написал снова - дали почту сайта, пошёл стучаться на почту.
На почте спросили мои контакты для связи, оставил контакты и уже неделю тишина. Довольно возмутительно, для человека, решившего сделать благое дело, ждать неделю без приветов и ответов, имея на руках эксплоит, который может доставить серьёзные проблемы монополисту. Причём вежливо написал, без угроз и без реквизитов на которые нужно отправить 100 биткоинов в течение 6 часов:)
Обычно, в таких ситуациях, даже сервисы поменьше, идут на контакт и оперативно отвечают. А тут люди молчат, не демонстрируют никакой заинтересованности. А я ведь уже скоро могу не выдержать и слить эксплоит сюда...

Уважаемые друзья форумчане, что посоветуете сделать? Хотелось бы с них немножко бакинских стрясти за такую-то информацию
сливай,мы заставим их заплатить )
 
k0d сказал(а):
Мы уже тут, ждем ))
google_ сказал(а):
сливай,мы заставим их заплатить )
Ну если за двое суток не свяжутся, то я солью, заебало ждать уже, хоть и хочется за это деньги получить. Как по мне, когда на почту приходит сообщение о том, что у вас на сайте серьёзная уязвимость и вы можете получить по ней инфу, то не стоит упускать свой шанс. А вдруг по ту сторону экрана не пиздабол, а какой-то хакер из северной кореи, или того хуже, злые конкуренты. Так не должно быть, что уже больше недели тишина
 
LIGUL сказал(а):
Уяза только их сервиса, в беке сайта. Если кто угодно её будет использовать - моментальные денежные убытки для сайта
то что ты описал их поведение, такое явление очень частое, поэтому некоторые просто сливают))как то с одним сервисом договорились на словах, без электронного договора, без бумажного, на пентест мною их сервиса, протестировал но видимо мало нашёл, отчёт предоставил, меня в бан, далее полный игнор, конечно меня это сильно разозлило, в итоге усерднее поискал, нарыл 2 уязы, одна скуля а другая с возможностью тупо сливать бабки с любого нового аккаунта, нарушение бизнес логики))делать ничего не стал, не сообщать этим уродам не сливать, посчитал что когда наступят дьявольски суровые времена зарежу этого жирного кабана на пропитание, прошло уже несколько лет, забил на это
 
mike123321 сказал(а):
то что ты описал их поведение, такое явление очень частое, поэтому некоторые просто сливают))как то с одним сервисом договорились на словах, без электронного договора, без бумажного, на пентест мною их сервиса, протестировал но видимо мало нашёл, отчёт предоставил, меня в бан, далее полный игнор, конечно меня это сильно разозлило, в итоге усерднее поискал, нарыл 2 уязы, одна скуля а другая с возможностью тупо сливать бабки с любого нового аккаунта, нарушение бизнес логики))делать ничего не стал, не сообщать этим уродам не сливать, посчитал что когда наступят дьявольски суровые времена зарежу этого жирного кабана на пропитание, прошло уже несколько лет, забил на это
очень странно конечно, что это частое явление. Моя основная клиентура - в основном гемблинг сайты, букмекеры, казино и т.д.
Ребята в основном быстро отвечают и идут на уступки

Но в некоторых случаях, когда можно прям залутать денег, то оставляю уязвимость себе. Вон писал пост про одно казино, про уязвимость которая там была и о том что они её пофиксили. Так я после этого поста ещё 2 подобных у них нашёл
 
LIGUL сказал(а):
очень странно конечно, что это частое явление. Моя основная клиентура - в основном гемблинг сайты, букмекеры, казино и т.д.
Ребята в основном быстро отвечают и идут на уступки
ну почему странно, люди не хотят платить, признавать что днище у них пробито и зияет, психология итд
 
mike123321 сказал(а):
ну почему странно, люди не хотят платить, признавать что днище у них пробито и зияет, психология итд
ну так если не признать, то потеряете деньги... Вдруг эксплоит нашёл какой-то шизик, который его опубликует
 
Rodrigo4 сказал(а):
очевидно, что если это принесет деньги - ИСПОЛЬЗОВАТЬ. Что тут еще делать, лол)
Имхо слишком много подводных камней, из-за которых проще и выгоднее её продать самому сервису. Только вот сервис меня игнорит)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Rodrigo4 сказал(а):
ну если сервис большой и есть шанс выцепить хорошую сумму - че тут думать и для чего идти по самому простому пути? Бери сложный путь, иди ва-банк и если повезет - будешь миллионером (смотря что там за сервис и эксплоит)
так он 100 битков просит, 8,417,791.84 USD если быть точнее))))
 
Rodrigo4 сказал(а):
ну если сервис большой и есть шанс выцепить хорошую сумму - че тут думать и для чего идти по самому простому пути? Бери сложный путь, иди ва-банк и если повезет - будешь миллионером (смотря что там за сервис и эксплоит)
А если не повезёт и бдящие админы спалят, то мало того что х#й с носом получу, так ещё и возможно в интерпол попаду)
 
LIGUL сказал(а):
А если не повезёт и бдящие админы спалят, то мало того что х#й с носом получу, так ещё и возможно в интерпол попаду)
Так слей бд и всё данные, которые ценные.
 
LIGUL сказал(а):
А если не повезёт и бдящие админы спалят, то мало того что х#й с носом получу, так ещё и возможно в интерпол попаду)
эта уяза что даёт в итоге, возможность слить бабки или просто создаёт нагрузку и у конторы тратяться бабло, например на рассылку смс(сообщения платные) или что то в этом роде?
 
mike123321 сказал(а):
эта уяза что даёт в итоге, возможность слить бабки или просто создаёт нагрузку и у конторы тратяться бабло, например на рассылку смс(сообщения платные) или что то в этом роде?
возможность слить бабки конторе и получить себе
 
LIGUL сказал(а):
Причём вежливо написал, без угроз и без реквизитов на которые нужно отправить 100 биткоинов в течение 6 часов:)
Находишь язву на сайте дураков, которые не в силах понять "что не так" у них и потому они тебя игнорят - ошибка!
Пишешь дуракам пространно "у вам там язва..." без чётких требований "а ну быстро бабки вот сюда" - фатальная ошибка!!!
(c)казал бы Мультичел 😆

Ну а если без шуток, то вот потенциальные вектора:
1. У конторы есть более понятливые конкуренты? может быть они купят инфу или сам "экшн" ?
2. Кому могло бы быть выгодно если контора пострадает? к ним обращался, писал ? (например, их должники которым не надо будет долги платить если контора накроется медным тазом)
3. Если контора публичная (IPO или нечто подобное), а не сыграть ли на понижение? ;-) (кто не в курсе как почти гарантированно зарабоать на падении чего-то в тартарары с треском - спрашивайте, я могу кратко понятно написать тут. подсказка: суть тут в займе)
4. Если в конторе (ну вдруг там не все дебилы) найдётся единомышленник, более-менее ЛПР, то нет ли смысла сыграть в игру "оформили страховку от хакерских атак и она внезапно сработала" ?
5. Ещё вариантов надо?... хотя и тех 4-х выше обычно в мире хватает всем чтобы дела на "нежелательном событии" проворачивать.
 
Последнее редактирование:
LIGUL сказал(а):
Нашёл я значит уязвимость на одном сервисе.
Можно вопрос для моей личной статистики - искал "в глубину" или "в ширину" ? (чистое любопытство)

А я вот тут недавно случайно баловался доркал по пьяни и "додоркался" до того, что попал в какой-то "газовый хаб" (SaaS ERP систему, поставщик услуг для контор-"газовиков") какой-то европейской (не скажу конкретики сорри) страны, тоже вот сижу чешу репу чего с ними бы сделать такого... В основном инфа там тупая и скучная - логинов и паролей мало, но много документов на рил газовые объекты по странам евросоюза (близким к этой стране географически) с координатами установки всякими там supply spare parts ну и так далее (этож ERP скучная, а не SCADA с которой было бы уйму веселья "вентеля покрутить задвижки позадвигать"). Наверное всё же надо до RCE доковырять (у меня БД и все "сырки" ихние, а также несколько вкусных credentials от уже ихних поставщиков услуг) да и зашифровать как обычно, ну и выкуп.... кто как думает? (что не мешает ещё наверное горизонтально пролезть к их поставщикам и их клиентам, но там дохера прям ковырять... а я ленив и херовый спец в плане эксфильтрации...)
 
Последнее редактирование:
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх