SB
Size: a a a
2019 December 23
AD
Как вариант выходить на инвестора, куратора, делового партнера, без описания уязвимости, а с уведомлением что партнеру было отправлено сообщение, в котором описана уязвимость, и что отсутствие реакции повлечет репутационные, финансовые риски
А если безуспешно, то сделать фикс самому и задеплоить его?
M
А если безуспешно, то сделать фикс самому и задеплоить его?
И резюме на "рабочий стол" руководителю)
А
Для начала лучше обратиться в контору, которая допустила данную уязвимость. Уточнить сроки и обратную связь. Спросить разрешение, после устранения, опубликовать. Если конечно вы не ищете из этого другой выгоды)
Вот дело говорит! Обратное поведение как расценивать ?
AS
Вот дело говорит! Обратное поведение как расценивать ?
я тоже на днях нашел уязвимость в приложении банка, уже 5й рабочий день, как они не отвечают. Писал им на почту указанную в Гугл плей, обращался через знакомого, который там работает (обещал передать), все еще молчат)
сколько обычно ждут благородные кулхацкеры?))
сколько обычно ждут благородные кулхацкеры?))
RM
Вот дело говорит! Обратное поведение как расценивать ?
как поведение порядочного гражданина. Госслужбы и аффилированные компании часто никак не реагируют на проблемы, и их нельзя замалчивать
SP
Для начала лучше обратиться в контору, которая допустила данную уязвимость. Уточнить сроки и обратную связь. Спросить разрешение, после устранения, опубликовать. Если конечно вы не ищете из этого другой выгоды)
А они встречное заявление напишут, за взлом
A
Надо просто тред на эксплоит.ин создать и туда все выложить.
..
я тоже на днях нашел уязвимость в приложении банка, уже 5й рабочий день, как они не отвечают. Писал им на почту указанную в Гугл плей, обращался через знакомого, который там работает (обещал передать), все еще молчат)
сколько обычно ждут благородные кулхацкеры?))
сколько обычно ждут благородные кулхацкеры?))
Просто пофигизм на всех уровнях. Поэтому как Царка надо дрючить . Имхо
T
я тоже на днях нашел уязвимость в приложении банка, уже 5й рабочий день, как они не отвечают. Писал им на почту указанную в Гугл плей, обращался через знакомого, который там работает (обещал передать), все еще молчат)
сколько обычно ждут благородные кулхацкеры?))
сколько обычно ждут благородные кулхацкеры?))
Если вы специально занимались этим, то лучше зарегистрируйтесь на HackerOne, и исследуйте приложения оттуда. Google платит за уязвимость в любом приложении, у которого есть 1 миллион скачиваний + приложения от зарегистрированных разработчиков.
AS
Если вы специально занимались этим, то лучше зарегистрируйтесь на HackerOne, и исследуйте приложения оттуда. Google платит за уязвимость в любом приложении, у которого есть 1 миллион скачиваний + приложения от зарегистрированных разработчиков.
ок, попробую. спасибо
T
ок, попробую. спасибо
ТАм без выплат не останетесь )
AS
да я особо то и не надеялся на деньги от наших компаний. Показал бы им их же дыры бесплатно, но важно, чтобы они ответили и пофиксили, а эти молчат. Когда еще один “столичный” банк был жив, тоже им писал про недочет в апи - заигнорили, потом в фб написал с деталями - сразу же залатали.
T
да я особо то и не надеялся на деньги от наших компаний. Показал бы им их же дыры бесплатно, но важно, чтобы они ответили и пофиксили, а эти молчат. Когда еще один “столичный” банк был жив, тоже им писал про недочет в апи - заигнорили, потом в фб написал с деталями - сразу же залатали.
Ничего не платили?
AS
T
Давайте скажите название банка, будем знать)
s
Давайте скажите название банка, будем знать)
Первую букву хотя-бы )
T
Я на hackerone когда зарегался, сразу набросился на mailru календарь😂
RM
Первую букву хотя-бы )
Q или K
s
