• XSS.stack #1 – первый литературный журнал от юзеров форума

Нашёл SQL уязвимость, выкачал БД крупной компании, как можно развить далее события?

Отслеживать

asterbayer

CD-диск
Пользователь
Регистрация
14.12.2022
Сообщения
13
Реакции
3
Добрый вечер форум, это мое первое сообщение тут и моя первая рыба которая попалась ко мне в руки, прошу совета у людей с опытом , есть вопрос по поводу темы "кибер шантажа", нашел сайт интересной крупной компании и нашел там уязвимость. Получилось выкачать базу данных Логи, пороли (расхешировал), почты и многое другое. Это все клиенты компании, а данные от их аккаунтов это данные компаний клиентов. Суть вопроса вот в чем, есть ли смысл иметь с этого монетку методом шантажа(сказать что нашел уязвимость, дать доказательства, попросить сумму за не слив инфы). Есть ли смысл этим заниматься, и если есть, как себя обезопасить, чтоб все ровно провернуть, либо же как ни будь самому отработать эти данные?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
asterbayer сказал(а):
Добрый вечер форум, это мое первое сообщение тут и моя первая рыба которая попалась ко мне в руки, прошу совета у людей с опытом , есть вопрос по поводу темы "кибер шантажа", нашел сайт интересной крупной компании и нашел там уязвимость. Получилось выкачать базу данных Логи, пороли (расхешировал), почты и многое другое. Это все клиенты компании, а данные от их аккаунтов это данные компаний клиентов. Суть вопроса вот в чем, есть ли смысл иметь с этого монетку методом шантажа(сказать что нашел уязвимость, дать доказательства, попросить сумму за не слив инфы). Есть ли смысл этим заниматься, и если есть, как себя обезопасить, чтоб все ровно провернуть, либо же как ни будь самому отработать эти данные?
Смотря что за компания!
А как показывает МОЯ практика платят не охотно.
Сам подобным занимаюсь.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Лучше поробуй для начала как либо по другому это реализовать, допустим продав эту самую базу на эндеграунд рынках
 
EdwyB сказал(а):
Смотря что за компания!
А как показывает МОЯ практика платят не охотно.
Сам подобным занимаюсь.
По понятным причинам не могу говорить, что за компания, но у нее хорошая клиентская база состоящая из других промышленных компаний и корпораций, собственно данные не просто обычных физиков, а других компаний
 
  1. Связаться с компанией по всевозможным контактам и приложить пруфы взлома (куски каких-либо данных)
  2. Без шантажа, без ультиматумов, по хорошему предложить свою помощь с аудитом, помощь с закрытием багов. Пообещать нераспространение полученных тобой данных.
  3. Если согласятся - получить деньги и выполнить фулл аудит (не только SQLi, а весь OWASP TOP 10) и помочь закрыть баги. Если же не согласятся или будут игнорить - приступать к ультиматумам и шантажу.
  4. Если ты не моралфаг, то после выполнения третьего пункта продать данные, даже в том случае если они согласятся на аудит. Дабл профит :)
  5. Пару дней назад похожий вопрос (о том, как правильно в таких случаях трясти бабки с компаний) задавали в соседнем топике - https://xss.pro/threads/80311/
 
Пожалуйста, обратите внимание, что пользователь заблокирован
c0d3x сказал(а):
  1. Связаться с компанией по всевозможным контактам и приложить пруфы взлома (куски каких-либо данных)
  2. Без шантажа, без ультиматумов, по хорошему предложить свою помощь с аудитом, помощь с закрытием багов. Пообещать нераспространение полученных тобой данных.
  3. Если согласятся - получить деньги и выполнить фулл аудит (не только SQLi, а весь OWASP TOP 10) и помочь закрыть баги. Если же не согласятся или будут игнорить - приступать к ультиматумам и шантажу.
  4. Если ты не моралфаг, то после выполнения третьего пункта продать данные, даже в том случае если они согласятся на аудит. Дабл профит :)
  5. Пару дней назад похожий вопрос (о том, как правильно в таких случаях трясти бабки с компаний) задавали в соседнем топике - https://xss.pro/threads/80311/
Полностью поддерживаю
 
c0d3x сказал(а):
  1. Связаться с компанией по всевозможным контактам и приложить пруфы взлома (куски каких-либо данных)
  2. Без шантажа, без ультиматумов, по хорошему предложить свою помощь с аудитом, помощь с закрытием багов. Пообещать нераспространение полученных тобой данных.
  3. Если согласятся - получить деньги и выполнить фулл аудит (не только SQLi, а весь OWASP TOP 10) и помочь закрыть баги. Если же не согласятся или будут игнорить - приступать к ультиматумам и шантажу.
  4. Если ты не моралфаг, то после выполнения третьего пункта продать данные, даже в том случае если они согласятся на аудит. Дабл профит :)
  5. Пару дней назад похожий вопрос (о том, как правильно в таких случаях трясти бабки с компаний) задавали в соседнем топике - https://xss.pro/threads/80311/
Спасибо!
 
c0d3x сказал(а):
  1. Связаться с компанией по всевозможным контактам и приложить пруфы взлома (куски каких-либо данных)
  2. Без шантажа, без ультиматумов, по хорошему предложить свою помощь с аудитом, помощь с закрытием багов. Пообещать нераспространение полученных тобой данных.
  3. Если согласятся - получить деньги и выполнить фулл аудит (не только SQLi, а весь OWASP TOP 10) и помочь закрыть баги. Если же не согласятся или будут игнорить - приступать к ультиматумам и шантажу.
  4. Если ты не моралфаг, то после выполнения третьего пункта продать данные, даже в том случае если они согласятся на аудит. Дабл профит :)
  5. Пару дней назад похожий вопрос (о том, как правильно в таких случаях трясти бабки с компаний) задавали в соседнем топике - https://xss.pro/threads/80311/
Еще такой вопрос назрел, сколько в среднем требуют выкуп, я понимаю, что вопрос глупый, но примерно диапазон выкупа какой?
 
asterbayer сказал(а):
Good evening forum, this is my first message here and my first fish that fell into my hands, I ask for advice from people with experience, I have a question about the topic of "cyber blackmail", I found a website of an interesting large company and found a vulnerability there. It turned out to deflate the Logi database, flogged (hashed), mail and much more. These are all the clients of the company, and the data from their accounts is the data of the companies of the clients. The crux of the matter is this: does it make sense to have a coin from this by blackmail (say that you have found a vulnerability, give evidence, ask for an amount for not leaking information). Does it make sense to do this, and if so, how to protect yourself in order to turn everything smoothly, or how can you work out this data yourself?
Well if you have their emails we could easily spam them with phishing links or malware through BEC
 
asterbayer сказал(а):
По понятным причинам не могу говорить, что за компания, но у нее хорошая клиентская база состоящая из других промышленных компаний и корпораций, собственно данные не просто обычных физиков, а других компаний
Пошарься с добытыми кредами по компаниям-клиентам. Масштабируй :D
 
Пожалуйста, обратите внимание, что пользователь заблокирован
I read the comment here and I want to point what @ne_speed said. They will probably ignore you.
So, try to make a communication with them first, before you disclose that you got access and demand money. Don't forget that US are famous with their "we don't negotiate with..."

Try to make a contact
Explain the issue
Try to see what they think about it, most of the companies will know already that you are looking for money
Try with good aka offer pentest, if that doesn't work then blackmail them
DON'T SELL THEIR DATA IF THEY PAY!!! Bad for the business

 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх