Отправь им на почту скрины этой дискуссии 
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Убыточный эксплоит и "шантаж" сайта
- Автор темы LIGUL
- Дата начала
попробуй реализовать самостоятельно, есди тебя интересуют деньги. слить - конечно прикольно, и аудитория оценит, но это не исполнит твою основную цель. но если хочешь именно проучить, а не заработать деньги - то делай как знаешь
п.с. конкретно с "шантажа" ты не получишь хороший профит, нежели с эксплуатации. поэтому предлагаю самостоятельно вы**ать контору. получишь в разы больше
п.с. конкретно с "шантажа" ты не получишь хороший профит, нежели с эксплуатации. поэтому предлагаю самостоятельно вы**ать контору. получишь в разы больше
Наверняка, видел в новостях, как монетизируют подобных господ: сливают весь баланс, а потом по договорняку возвращают 90%
баг банути по другому работает
необходимо грамотно оформлять репорты + продавать себя как тестера и искать возможность связаться на-прямую с отделом, ответсвенным за безопаность инфораструктуры, неважно, дефолт сб это или ибшники, + на руку будет портфолио и репутация, ты посмотри как громко о себе завялются всякие рансомы и тд, это же не из-за тщеславия, это маркетинг, личный бренд
только имея какой-то вес в сети и в совокупности с умением на уши подсесть сможешь продать все, что нашел, к сожалению так устроено(
из личного опыта:
тоже нашел баг как-то на прилке на мобилки, баг повзолял аутентификацию проходить без дополнительных проверок, и скомпрометировать учетки других юзеров было как делать нехуй, ниша была крипта
по итогу: также связался с дефолт тп, рассказал/показал, пару недель мариновали меня по типу "ожидайте, нам необходимо выяснить причины и тД", крч лютую туфту втирали, но спустя время пишут мне - сожалеем, но мы не готовы вам финансово вознаградить тк не считаем что баг является критичным для нас, соотвественно за это время баг аутентификации они фиксанули, а мои акки, с которых я баг тестил и им показывал делитнули
+ если контора не обьявляла багбаунти программу, а ты решил в Робин Гуда поиграить - анониму никто не заплатит, еще и на условный биток. В крайнем случае (что бывает оч редко), попросят реал банк реквизиты и выйти на связь (например по видео), чтобы в случае ущерба компании, потом все шишки повесить на тебя самого, даже если ты в последующих инцидентах будешь уже не при делах. Это не расном, не шантаж, когда конторе просто деваться некуда (и даже там сливаются вполне себе).
LIGUL У тебя первый опыт что ли?
неблагодарное дело*(
либо альтернативные варианты:
-серчить инфу на компанию, которая в коллабе с твоим бэкдором будут ярко олицетворять нарушенные нормы со стороны компании, если речь идет о сенситив дате, так там много за что можно притянуть
-найдя дыру в компании, нужно понять, эта дыра в коде самой компании или же эта дыра в каких-то смежных технологиях, которые интегрированы в инфру, если второе, то необходимо отталкиваться от дырявого компонента и искать объекты с такими же компонентами делая акцент на отрасли, в которых баг баунти может быть необзятальеным, но зато там может быть возможность инициировать Ad-hoc Bug Bounty на персональной основе.
При таком подходе стоит рассматривать цели, которые попадают под GDPR, NIS, HIPAA, PSD, в которых вероятнее всего есть возможность активировать багбаунти в моменте для конкретного внештатного вайтхета, но только при очевидной демонстрации масштаба ущерба, делая акцент на регламенты по сентиви дате. ТАкже стоит учитывать, что шантаж тут не подходит, лучше скрыто намекнуть на что-то по типу, возможного сотрудничества с прессой с предоставлением доказательств, имхо
есть и такие? реально связываются на-прямую с теми, кого чекали???
вобщем после ночного сна, рекомендую, не жалей(тебя никто не пожалеет), выгружай, применяй всю цифровую гигиену и вперёдВсему форуму низкий поклон.
Нашёл я значит уязвимость на одном сервисе. Белым хакером, и уж тем более просто хакером я себя не считаю, слишком громкий титул. В использовании простая, любой школьник разберется, и в случае использования и публикации в сети, сервис понесёт миллионные убытки, а может и больше.
Написал сервису в техподдержку. Несколько дней тишина, потом попросили рассказать подробнее. Попросил контакты менеджера/тех.отдела - игнор. Написал снова - дали почту сайта, пошёл стучаться на почту.
На почте спросили мои контакты для связи, оставил контакты и уже неделю тишина. Довольно возмутительно, для человека, решившего сделать благое дело, ждать неделю без приветов и ответов, имея на руках эксплоит, который может доставить серьёзные проблемы монополисту. Причём вежливо написал, без угроз и без реквизитов на которые нужно отправить 100 биткоинов в течение 6 часов
Обычно, в таких ситуациях, даже сервисы поменьше, идут на контакт и оперативно отвечают. А тут люди молчат, не демонстрируют никакой заинтересованности. А я ведь уже скоро могу не выдержать и слить эксплоит сюда...
Уважаемые друзья форумчане, что посоветуете сделать? Хотелось бы с них немножко бакинских стрясти за такую-то информацию
Ни разу не просили кстати ни банк реквизиты ни подъехать/позвонить по видео. Обычно если компания готова платить за свои баги то вполне хватет деталей по уязвимости и выхода на конечное лиицо принимающее решение.
Имею в виду белый вариант, а не шантаж. В той-же условной базе (если есть доступ) находишь почтовик и шлёшь письмо с нормального домена с именем человека, аля - kevin.parker@security-firm.co с деталями баги, с score итд.
По нормальному, а не с kaker2449@protonmail.com - c крававыми картинами мёртвых младенцев и угрозами миллиардных убытков, из-за просроченого ssl, лол.
Кстати прикольно собирать себе свой скоуп компаний готовых платить, берёш топ домены и смотришь в корне security.txt бб программы может и не быть на официальных площадках, но обчно там контакты для связи и на встречу идут охотно.
@LIGUL
В целом каждому кто хоть раз участвовал в бб знакома твоя боль, забей хер и двигайся дальше.
Если не готовыы платить то, как написал TERM1NATOR, смысла нет вообще в их сторону смотреть и тем более шантажировать через открытие тем на хакерских форумах.
С другой стороны если хочешь поугарать: закажи прозвон, что-бы им каждый час набирали и угражали слить, а ссылку на тему форума с распечатками злых коментариев форумчан ждущих слива шли по факсу, лол.
Последнее редактирование:
FantasticExploits ты ник перепутал? Я приверженец эксплуатации, естественный отбор, все дела.
- Автор темы
- Добавить закладку
- #31
Да я не требовал от них никакого выкупа в 100 биткоинов, это шутка была...
Сейчас проясню, чтобы вы не думали что я взломал реально что-то прям супер-крутое, что сделает меня миллионером, а тех, кто возможно увидит слив эксплоита, обогатит в сотни раз
1. Контора очень известная, покупает очень много рекламы
2. Контора имеет большую аудиторию и скорее всего зарабатывает миллионы в день, ибо очень-очень много клиентов. В соц. сетях там больше 400 тысяч подписчиков
3. При этом сайт конторы написан так, будто только вчера появилась реклама курсов о программировании
4. Они и слыхом не слыхивали что такое баг баунти
5. Не надо думать что я получил доступ к пусковой установке ATACMS или возможность изменить маршрут какому-нибудь нефтяному танкеру в тихом океане. На деле все гораздо проще и прозаичнее, вам возможно даже смешно будет, если вы увидите сам эксплоит
6. Не надо считать меня каким-то хакером, или человеком который разбирается в этом деле, я по вашим меркам еще пороху не нюхал, и вы все, господа, гораздо опытнее и продвинутее меня. Я больше знаю где искать, чем какие методы применять
7. Найденный эксплоит - очень грубая ошибка того, кто писал сайт. И сам эксплоит (насколько я знаю от ютуб-канала black hat america) имеет очень большой потенциал в плане наносимого урона.
8. Нанесенный урон зависит от того, сколько человек и с каким упорством им воспользуются. 1000 человек не пожалеют себя и потратят час времени = 1-2млн убытков
- Автор темы
- Добавить закладку
- #32
да не было никакого шантажа сливами, угроз каких-то, специального открытия темы чтобы на меня обратили внимание и т.д. У меня нет никакой злости, просто непонимание
- Автор темы
- Добавить закладку
- #33
Никогда белым, и уж тем более хакером, не был. Были эксплоиты которые выгоднее просто продать самой конторе за деньги, чем использовать самому. Это один из них
Сейчас начинают требовать.
Известный ИБ-эксперт (Will Dormann) обратился в Microsoft Security Response Center с четким описанием бага и подтверждающими проблему скриншотами, однако ему ответили, что отчет не будет рассмотрен без видео.
Актуальная статья Microsoft отказалась рассматривать отчет об уязвимости без видео
- Автор темы
- Добавить закладку
- #35
P.S. Контора на русскоязычную аудиторию ориентирована, но зарегистрирована не в рф, а в недружественной стране (видимо чтобы не платить налоги родине). При этом платежка у них русская и договор оферты оперирует (почему-то) гражданским кодексом РФ, хотя подсудность у них явно другой страны
Если хищение средств или мошеннические действия будут в ру сегменте, то заяву примут. Другой вопрос будут ли они это делать из своих соображений!? Если не наследил при диалоге с ними, то у тебя точно много манёвров для действий.
сделай отлёгу в пару месяцев или больше, может успеют ответить, не оттветят, реж кабана
- Автор темы
- Добавить закладку
- #38
Да, верные мысли
PoC-видео это норм, вот PoC-видео+лицо+пасспорт в руках это уже перебор.
<сарказм>
Да как ты посмел мальчик отвлекать серьёзных дядек-хакеров бородатых и в свитерах на которых связаны в виде QR коды эксплоитов выключающие все камеры на пути их следования?!
Иди и без доступа к пусковой уставновке ATACMS или угнанного нефтяного танкера не возвращайся! Забаньте позорника - он ни одной ядерки remote не запустил несанкционированно!
</сарказм>
я ж выше писал - иди к ихним конкурентам предложи "завалить конкурента вашего за $$$" или в "игру на понижение" сыграй если там такое возможно ;-)
ещё люди выше грамотно написали что можно пригрозить что контору выебут "за несоблюдение GDPR" (хотя звучит то как... "... за несоблюдение GDPR!" - прям как "медаль за ..."
) и что ты обязательно настучишь и знаешь даже кому и кудаи то что ты не выдвигаешь жёсткие и чёткие требования - это как раз твоя... "фатальная ошибка!" (c) Мультичел
люди не воспринимают поэтому твои "ой а там киберугрозики у вас завелись... хехе...
" обращения всерьёздружески совет: научись в таких делах "включать бычку" (в разумных пределах только, чтобы "плательщика" "инфаркт микарда" не хватил раньше времени, тебе же оплата нужна, а не жертвы среди плательщиков, которых можно и несколько раз доить, находя разные баги и главное - ПУГАЯ этими багами, а не проявляя "несвойственную криминалитету чрезмерную вежливость")