Убыточный эксплоит и "шантаж" сайта

[LIGUL]

<сарказм>
Да как ты посмел мальчик отвлекать серьёзных дядек-хакеров бородатых и в свитерах на которых связаны в виде QR коды эксплоитов выключающие все камеры на пути их следования?!
Иди и без доступа к пусковой уставновке ATACMS или угнанного нефтяного танкера не возвращайся! Забаньте позорника - он ни одной ядерки remote не запустил несанкционированно!
</сарказм>

я ж выше писал - иди к ихним конкурентам предложи "завалить конкурента вашего за $$$" или в "игру на понижение" сыграй если там такое возможно ;-)
ещё люди выше грамотно написали что можно пригрозить что контору выебут "за несоблюдение GDPR" (хотя звучит то как... "... за несоблюдение GDPR!" - прям как "медаль за ..." ) и что ты обязательно настучишь и знаешь даже кому и куда

и то что ты не выдвигаешь жёсткие и чёткие требования - это как раз твоя... "фатальная ошибка!" (c) Мультичел
люди не воспринимают поэтому твои "ой а там киберугрозики у вас завелись... хехе... " обращения всерьёз
дружески совет: научись в таких делах "включать бычку" (в разумных пределах только, чтобы "плательщика" "инфаркт микарда" не хватил раньше времени, тебе же оплата нужна, а не жертвы среди плательщиков, которых можно и несколько раз доить, находя разные баги и главное - ПУГАЯ этими багами, а не проявляя "несвойственную криминалитету чрезмерную вежливость")

То что люди не воспринимают это их проблема. Я не нянька и не духовный наставник, чтобы им ложку в рот запихивать, когда они уже в заведомо проигрышной позиции. Вежливо сказал и повторять им не буду. Если передо мной не млекопитающие, а прямоходящие люди, то выйдут на контакт (ибо при любом упоминании багов и т.д. и т.п. единственное верное решение - выйти на контакт и хотя бы узнать пихают ли вам фуфло), ибо не выйти на контакт = рискнуть. А в бизнесе (если ты бизнесмен конечно, а не макака, открывшая "точку" на натыренную из карманов мелочь) ненужные риски являются грубой ошибкой. И нет смысла быковать, ибо быкуют чтобы набить цену. Быковать в ситуации где цену выбираешь сам - глупость. Быковать там где цену выбирает другой человек - слабость.

Про GDPR звучит конечно интересно, почитаю про это. Но в моих масштабах это как дворового гопника интерполом пугать. А мультичел это заносчивый выскочка, думающий что ухватил мона лизу за коленку. Одно дело быть уверенным в себе, другое - самоуверенным. У самоуверенных шансов нет, ибо когда танцуешь с дьяволом, надо слушать музыку

 

[Neal]

Вообще таких форумов мало, я бы не стал гадить.
Сейчас я ушел в оффлайн бизнес, но периодически сюда захожу, ангрерграунд не отпускает.
Ну подпортил ты им репу, дефейснул, что дальше? Пройдет время, и это будет не то, чем ты будешь гордиться.
Я придерживаюсь нейтралитета и не топлю за экспу, но уважаю мемберов и в целом комьюнити, коих все меньше.

P.S Попросил бы премиум и депозит на профиль в 0.3BTC за багу.

 

[divx]

Оцени с точки зрения финансов сколько можно поиметь денег при эксплуатации этой уязвимости
Далее выставь на продажу.

Когда на улице находишь золото проще его занести в ломбард и сдать, чем искать владельца думая что это фамильная драгоценность им дорога и просить за это деньги (можно с голой жопой остаться после таких маневров).

Проще говоря если самому сцыкотно ее использовать
то
Нашел - продал, и все дела.

 

[zdestuta]

мультичел это заносчивый выскочка, думающий что ухватил мона лизу за коленку

если что мультичеловское "X - ошибка! Y - фатальная ошибка!" это как пародия по приколу чисто, не всерьёз

а вот то, что они тебя всерьёз не восприняли и проигнорили... ну я написал почему конкретно, а история покажет

нет, они к тебе сами не прибегут, потому что твои "интеллектуальные методы" на тупых них - не действуют (сюрприз), и очень часто тупые игнорят просто потому что тупые и даже не поняли чего ты им предлагал и чего от них вообще хотел - да, и так бывает, поверь.
вот я 20 лет назад в один банк аж даже прям звонил-звонил по телефону, а им было прям тотально похуй - не стали закрывать язву и тупо забили. а я ломать не стал, а точнее я не знал (тогда) как извлечь из этого профит. так периодически лазил к ним чисто поржать "внутрянку" почитать, а потом банк просто "закончился" (давно уже), но не потому что их хакнули кто-то, а просто исторически видимо так сложилось.

 

[zdestuta]

И нет смысла быковать, ибо быкуют чтобы набить цену. Быковать в ситуации где цену выбираешь сам - глупость. Быковать там где цену выбирает другой человек - слабость.

кроме этого "глупость/слабость" есть и другие варианты. например, иногда быкуют чтобы говорить с ними на одном языке, чтобы им стало понятно, а иначе тебя как инопланетянина воспринимают, полное "непонимэ" тебя у них: "а чо он хочет то??? требования какие?" - чешут они репу.
я пытаюсь донести до тебя простую истину, что есть индивидуумы, которые вообще в принципе (ну мозг у них такой) не понимают чего с них хотят когда с ними вежливо разговаривают

они тупо не понимают что ты старался и не дадут никакого вознаграждения - тупо не догадаются сами, не всем мама и папа в детстве "благодарность" привили в голову (это кстати научный факт, что "благодарность" - она сама не возникает в башке - это всегда "наученное" поведение до которого ребёнок сам никогда не допрёт, ну если повезёт очень к старости догадается разве что сам)
так что если к этому их "взывал", то огорчу: там прям тупо "не к чему взывать", ты в пустоту фигачишь мессаджи

а если явно прям конкретизировать требования типа "быстро сюда переведи 1 биток, а то будет плоха!" (желательно с мини-демо как будет плохо) - вот только тогда понимают такие люди. остальное им - ну просто непонятно (проходит прям мимо их мозга не зарождая мыслей).

 

[Chicha07]

А я вот тут недавно случайно баловался доркал по пьяни и "додоркался" до того, что попал в какой-то "газовый хаб" (SaaS ERP систему, поставщик услуг для контор-"газовиков") какой-то европейской (не скажу конкретики сорри) страны, тоже вот сижу чешу репу чего с ними бы сделать такого... В основном инфа там тупая и скучная - логинов и паролей мало, но много документов на рил газовые объекты по странам евросоюза (близким к этой стране географически) с координатами установки всякими там supply spare parts ну и так далее (этож ERP скучная, а не SCADA с которой было бы уйму веселья "вентеля покрутить задвижки позадвигать"). Наверное всё же надо до RCE доковырять (у меня БД и все "сырки" ихние, а также несколько вкусных credentials от уже ихних поставщиков услуг) да и зашифровать как обычно, ну и выкуп.... кто как думает? (что не мешает ещё наверное горизонтально пролезть к их поставщикам и их клиентам, но там дохера прям ковырять... а я ленив и херовый спец в плане эксфильтрации...)

C ЕС и КИИ можем помочь. Шифрование - не сильно хорошо, обычно по таким сетям хорошо уходит отработка инфы.
Пробуй по горизонтали прогуляться, есть неиллюзорный шанс что сервер смотрит во внутрянку, мы так со скадами говностран по типу Пакистана, Ирана и других баловались

Лучше всего конечно глянуть revenue, и от этого плясать

 

[Chicha07]

Да я не требовал от них никакого выкупа в 100 биткоинов, это шутка была...

Сейчас проясню, чтобы вы не думали что я взломал реально что-то прям супер-крутое, что сделает меня миллионером, а тех, кто возможно увидит слив эксплоита, обогатит в сотни раз
1. Контора очень известная, покупает очень много рекламы
2. Контора имеет большую аудиторию и скорее всего зарабатывает миллионы в день, ибо очень-очень много клиентов. В соц. сетях там больше 400 тысяч подписчиков
3. При этом сайт конторы написан так, будто только вчера появилась реклама курсов о программировании
4. Они и слыхом не слыхивали что такое баг баунти
5. Не надо думать что я получил доступ к пусковой установке ATACMS или возможность изменить маршрут какому-нибудь нефтяному танкеру в тихом океане. На деле все гораздо проще и прозаичнее, вам возможно даже смешно будет, если вы увидите сам эксплоит
6. Не надо считать меня каким-то хакером, или человеком который разбирается в этом деле, я по вашим меркам еще пороху не нюхал, и вы все, господа, гораздо опытнее и продвинутее меня. Я больше знаю где искать, чем какие методы применять
7. Найденный эксплоит - очень грубая ошибка того, кто писал сайт. И сам эксплоит (насколько я знаю от ютуб-канала black hat america) имеет очень большой потенциал в плане наносимого урона.
8. Нанесенный урон зависит от того, сколько человек и с каким упорством им воспользуются. 1000 человек не пожалеют себя и потратят час времени = 1-2млн убытков

В чем проблема продать/отдать в отработку? Меньше гемора, больше дохода.

 

[Blackdog]

так конечно сказать может каждый, что нашел у них уязвимость.
ты им как-то доказал что уязвимость существует?
может они тебе не верят?
100 битков конеЧно круто

 

[NEMO]

Всему форуму низкий поклон.
Нашёл я значит уязвимость на одном сервисе. Белым хакером, и уж тем более просто хакером я себя не считаю, слишком громкий титул. В использовании простая, любой школьник разберется, и в случае использования и публикации в сети, сервис понесёт миллионные убытки, а может и больше.
Написал сервису в техподдержку. Несколько дней тишина, потом попросили рассказать подробнее. Попросил контакты менеджера/тех.отдела - игнор. Написал снова - дали почту сайта, пошёл стучаться на почту.
На почте спросили мои контакты для связи, оставил контакты и уже неделю тишина. Довольно возмутительно, для человека, решившего сделать благое дело, ждать неделю без приветов и ответов, имея на руках эксплоит, который может доставить серьёзные проблемы монополисту. Причём вежливо написал, без угроз и без реквизитов на которые нужно отправить 100 биткоинов в течение 6 часов
Обычно, в таких ситуациях, даже сервисы поменьше, идут на контакт и оперативно отвечают. А тут люди молчат, не демонстрируют никакой заинтересованности. А я ведь уже скоро могу не выдержать и слить эксплоит сюда...

Уважаемые друзья форумчане, что посоветуете сделать? Хотелось бы с них немножко бакинских стрясти за такую-то информацию

определенно слить сюда

 

[petrinh1988]

Я вот что думаю, либо твои контакты показались им подозрительными и они решили, что ты скамер и лучше не связываться. Например, если контакты не получилось пробить. Либо у них достаточно однозначные твои контакты, тебя вполне себе идентифицировали и они по этому поводу не парятся, если что всё на тебя свалят. Ну типо вот шантажист...

Хотя есть еще момент бюрократии. Причем, чем западнее страна откуда эта компания, тем тупее и жестче у них с бюрократией.

 

[zdestuta]

Пробуй по горизонтали прогуляться, есть неиллюзорный шанс что сервер смотрит во внутрянку

Спасибо! Толково.
Там даже интереснее, сама контора на VPS провайдера этих самых VPS, но что интересно - она "supply chain" для нескольких контор, пару из которых (судя по сабфайндеру поддоменам) немаленькие, ну и (всё верно посоветовали) я полез в них "по горизонтали" - классика ("атака на цепочки поставок"). Но пока ничего интересного не нарыл, ну или я просто не очень понимаю же в их "предметной области" - разбираюсь, лазаю, сомневаюсь что у них безопасники толковые (если вообще есть), судя по настройкам и сколько я там беспалевно нахожусь и лазаю.

 

[evilnotlive]

так что ты в результате сделал?

 

[holynet]

так что ты в результате сделал?

+, тоже интересно, получил ли какую-нибудь выгоду или просто забыл