1125

Как REG.RU кинула простого тестера

Как REG.RU кинула простого тестера IT, Тестирование, Мошенничество, Мошенничество в сети, Regru, Длиннопост

Забегу немного вперед. В этой истории вы не услышите ничего об угоне домена dojki или о слитии данных миллиона клиентов компании reg.ru. Это статья всего лишь о том как на мой взгляд меня (Простого программиста Ивана по совместительству тестера) кинул IT гигант России.

Ну так вот, эта история произошла со мной пол года назад - тогда я активно пользовался услугами reg.ru и вот решил проверить их сайт на уязвимости (Так как еще год назад помню он был решетом где на каждой странице были уязвимости типа XSS и CSRF и это был отличный способ без труда подзаработать или получить какую нибудь плюшку).

Как и следовало ожидать - уязвимости на сайте были и как оно бывает, во мне проснулся "мужчина с ермолкой на голове" и я решил создать тикет предварительно спросив о программе вознаграждения за информацию об уязвимостях.

Ответ от поддержки не заставил себя долго ждать (Прошли всего сутки) и я получил предложения от которого никто не смог отказаться:

Autoresponse_support::support-hold (20 июня 2016 12:22)
Здравствуйте!
Да, есть. Размер поощрения зависит от серьезности предоставленной вами уязвимости. В любом случае мы вас отблагодарим. Спасибо за сотрудничество.

После этих слов я недолго думая (Т. к. это все же IT гигант) сообщил им о первой уязвимости:

Автор: pro100php (20 июня 2016 12:24)
Например: https://hosting.reg.ru/hosting/hosting_stats?service_id=2110...

После чего я получил стандартное в такой ситуации сообщение о том что нужно ждать:

Отдел технической поддержки (20 июня 2016 13:59)
Здравствуйте!
Информация о уязвимости передана нашим разработчикам для анализа. Ожидайте пожалуйста, ответа в рамках данной заявки.
Спасибо, что помогаете сделать наши сервисы лучше!

Всего через пол часа после сообщения под поддержки уязвимость уже была исправлена и я уже предвкушал как я буду попивать какао где нибудь на островах . Но судьба или по всей видимости кризис распорядились иначе и меня тупо кинули:

Отдел технической поддержки (20 июня 2016 14:38)

Здравствуйте!

Пришлите, пожалуйста, скриншот что код выполняется.

Автор: pro100php (20 июня 2016 15:05)
Как я это сделаю когда вы уже исправили уязвимость?
Вы пожалуйста как-то слаженней с программистами работайте... Как-то странно выглядит когда говорят "Информация о уязвимости передана нашим разработчикам для анализа.", исправляют, а потом пишут "Пришлите, пожалуйста, скриншот что код выполняется."...
Отдел технической поддержки (20 июня 2016 15:17)
Здравствуйте!
Мы передали Ваши слова нашим разработчикам. Мы уточним сложившуюся ситуацию для Вас и уведомим.
Автор: pro100php (20 июня 2016 15:19)
Хорошо, жду.
Отдел технической поддержки (20 июня 2016 15:19)
Здравствуйте!
Спасибо, что выбрали компанию REG.RU! Всегда рады вам помочь.
Автор: pro100php (20 июня 2016 15:21)
Вы же монополисты по сути в своем масштабе)) Кого еще выбирать?)
Отдел технической поддержки (20 июня 2016 15:48)
Здравствуйте!
Спасибо, что пользуетесь услугами REG.RU. Хорошего вам дня!

"И что потом" спросите вы? А ничего. Подождав две недели я не получив ответа написал им:

Автор: pro100php (02 июля 2016 16:02)
Думаю я вашу позицию понял. Всего хорошего.

И был таков...

Из этой истории я прекрасно понял что Reg.RU на гране банкротства что делает такие вещи даже крупные IT гиганты могут обмануть человека который не желает им зла и то что пользоваться услугами этой компании желания у меня совершенно нету.

Пруф переписки:

Как REG.RU кинула простого тестера IT, Тестирование, Мошенничество, Мошенничество в сети, Regru, Длиннопост

P. S.: По поводу комментариев о том что пост можно было бы выложить и на Хабр - отвечаю - на Хабре к счастью или к сожалению холивары в виже отзывов запрещены

Дубликаты не найдены

+36

Вполне вероятно, что ваши письма про уязвимость в рег.ру видели только исполнители или руководители "низшего звена", то есть лица, не заинтересованные или не способные решить вопрос о вознаграждении вам.
На вашем месте я бы сходил к ним в офис поцентральней и описал бы ситуацию руководству повыше. Если нет такой возможности - написал бы письмо или e-mail по такому же принципу.

раскрыть ветку 5
+50

ну или просто к хуям положить им сайт

раскрыть ветку 2
+21

Потребовать миллион долларов и вертолет и мороженое!

раскрыть ветку 1
+8

На самом деле просто технари все быстро исправили и сказали, что никакой уязвимости нет, чтобы по шапке от руководства за криворукие не получить.

-1

В офис конечно не сходить - т. к. я живу в Литве (Европа), но по поводу письма - да можно было - но мне кажется результат был бы тот же.

+32

Продолжение

Связались со мной представители reg.ru. Принесли извинения и отблагодарили:

[...] Разумеется, в данном случае, вам должны были сразу сообщить, что данная уязвимость уже найдена и находится в списках на исправление. Мы виноваты и приносим свои извинения. [...]
Пикабушники победа ваша 😉!

Иллюстрация к комментарию
раскрыть ветку 13
+13
Ну, все-таки они ответили на ваш пост , извинились, а не устроили кофейню, кальянную с жуками и бандерольку )
раскрыть ветку 1
+9

:D

+5

а почему скрыли сумму вознаграждения ?

раскрыть ветку 9
+2

Она довольно спорная))) Не хочу холиварить из-за нее (Считаю ее очень маленькой).

раскрыть ветку 8
0

Вот так пруф!

+52
Предоплаты не было, договора не было, а ты правда фрилансер?
раскрыть ветку 24
+23

Нет не было по этому к ним никаких официальных претензий нет) По поводу фриланса... Ну от части наверное да - я иногда тестирую сайты на заказ, но есть постоянная работа

раскрыть ветку 23
+10
Сколько стоит протестить сайт? Хочу узнать че я на говнокодил)
раскрыть ветку 22
+27
Рег.ру — те ещё пидорасы. Мне так однажды спам пришел на рабочую, нигде не засвеченную почту, о том, что надо оплатить какую-то фигню, и инвойс к письму приложен. Всё бы ничего, но адрес в инвойсе был с опечаткой, две буквы в названии улицы местами перепутаны. Именно так, с опечаткой, был указан мой адрес то ли в личном кабинете рег.ру, то ли при регистрации домена (со скрытыми данными для whois, естественно). То есть, или спамеры как-то сперли эти данные у Рег.ру, или Рег.ру сами слили данные своих пользователей. А еще у меня каким-то образом появился подключенный у них хостинг, услуги которого сам я не покупал (зачем мне виртуальный хостинг при наличии "дедика" в хорошем дата-центре?), и за который пусть за один месяц, но деньги они с меня снять успели (ну не буду же я чарджбек из за 10 баксов делать, при нем карту перевыпускать надо). В общем, теперь я эту компанию обхожу за километр.
раскрыть ветку 13
+5

По поводу качества их услуг ничего плохого (да и хорошего) сказать не могу. По поводу слитого адреса - не берусь утверждать - но я удивлен что еще данные всех клиентов не лежат в сети т. к. тот объем уязвимостей которые у них были еще год назад (По памяти помню что во WHOIS XSS была [или в связи с администратором, уже не помню]) и при редактировании/создании категорий для доменов (Это то что помню а так там мама не горюй было всяких всячин)...

раскрыть ветку 5
+3

Как то до давно я увидел пост о парне который спалил что в Google Domains продается домен Google.com, отправил тикет и получил вознаграждение.

Недолго думая захожу я на Reg.ru, и ввожу рандомно в поиск небезызвестный сайт Twitter.com. И чудо, он висит в продаже, недолго думая закинул его в корзинку и забыл об этом. Каково было мое недоумение, когда через неделю мне пришло сообщение о том что в моей корзине все еще находится домен Twitter.com, а еще через неделю со мной связался менеджер и поинтересовался о состоянии моего заказа. К сожалению письма удалил, за то остался скрин из корзинки.

Иллюстрация к комментарию
раскрыть ветку 4
+3

Лед 5 назад в офис рег ру пришел обычный человек, сказав что хочет перенести домен на себя, и рег ру как полагается не спросили какие то документы подтверждающие личность успешно перенесли домен на другое лицо, так один дорогой красивый 3 буквенный домен уехал куда то в даль (В кабинете не было инфы о паспортных данных), после этого новый владелец этого домена привязал домен на свой сайт и накидал туда алярмов(мобильные смс приложения которые шлют платные смс, это был wap сайт), не помню уже вернули ли домен но на сайте началась быстро падать посещаемость.

раскрыть ветку 6
+3

Ну любая компания может допустить ошибку... Но это полный трэш если правда...

раскрыть ветку 2
+1

Не удивлён совершенно ни разу.

раскрыть ветку 2
+6

Скорее всего сообщение об уязвимости передали программистам, они все быстро исправили, а отчитались что никакой уязвимости не было, иначе бы их премии лишили

раскрыть ветку 2
0

Вполне возможно

раскрыть ветку 1
0
Автоматизировать действия в мобильном приложении на компенсации сможем?
+6
А почему ты сразу не собрал доказательства, видео и фото о том что уязвимость есть?
раскрыть ветку 2
-1

Не подумал

раскрыть ветку 1
+1
Так вот, а если скинул бы скрины сразу, то бы они не отвертелись)
+4
Дочитал до того момента что о домене dojki ничего не будет. Не стал читать, но + поставил
Потому что много букафф.
раскрыть ветку 1
+2

Спасибо, плюсану тебя то же

+3

Ситуация, безусловно, неприятная, но не практичней было бы это дело разместить на условном хабре, где и аудитория в среднем более подходящая, и, возможно, представители компании водятся?

раскрыть ветку 19
+6

Увы (или к счастью) на Хабре запрещено оставлять подобные (отзывы) посты.

раскрыть ветку 18
+7
Так ты не жалуйся на хабре, а запили как пентестил )

и под шумок уже, расскажи об реакции регистратора.

Зы: думаю, что ктото потыбрил твой бонус.

раскрыть ветку 7
+5
GT? Может, меня пробил склероз, но почему-то явно помню, как время от времени встречал статьи с описанием подобного кидалова.
UPD: вот, например https://geektimes.ru/post/278744/
раскрыть ветку 9
+3

значит надо выложить уязвимости на какой-нибудь хакерский форум, чтоб им жизнь подпортить

раскрыть ветку 8
+5

Я такого не делаю ни при каких обстаятельствах

раскрыть ветку 7
+8

А может и зря.

раскрыть ветку 6
+2

на Хабр выложи, думаю найдутся желающие обсудить более детально и пристально:)

раскрыть ветку 5
+2

Повторюсь как и к прошлому посту - Увы (или к счастью) на Хабре запрещено оставлять подобные (отзывы) посты.

раскрыть ветку 4
+2

Это странно. Не так давно на Хабре были подобные посты про Киевстар, Рокетбанк и другие, люди нормально к ним отнеслись.

+1
Ибо разделегируют )
0

та ладно? о_0

летом на хабре была целая волна постов на эту тему

0

Забавно, постоянно там читаю подобные статьи.

+1

А можешь сделать пост где ты рассказываешь путь - как ты начал тестировать, с чего начинал и до чего дошел?

раскрыть ветку 1
0
Если это будет кому-то интересно, то почему бы и нет. Правда я себя все же считаю по большей части любителем в тестировании.
+1

поиск уязвимостей на российских ресурсах в любом случае уголовно наказуемое деяние.
не нужно этого делать. им не нужно, тебе тем более,
как это ни печально.

раскрыть ветку 19
0

Эксплуатирование и передача информации о уязвимостях третьим лицам уголовно наказуемые.


Обнаружение уязвимостей, пентест в принципе крупными компаниями оплачивается и приветствуется. Но именно в рамках устранения этих уязвимостей.


И автор уточнил в тикете, есть ли программа поощрения. Она есть.

раскрыть ветку 3
0

Увы, у нас судебная практика прецедентная.
за поиск уязвимостей (с предоставлением отчета о уязвимости жертве) несколько человек уже сидит или даже отсидели.
Конкретных примеров искать не буду, не хочу, в свое время я это отслеживал, дела помню.
Чтобы переломить ситуацию нужны прецеденты, когда "взломщик" был оправдан.
Вы ведь верите, что в нашем суде "взломщика" оправдают?
Да здравствует наш суд, самый гуманный суд в мире! Ура!

раскрыть ветку 2
0
Нет. Наказывается неправомерный доступ к охраняемой законом информации наказывается только если информация была как-то модифицирована. Изготовление вредоносного ПО сюда не пришить. Нарушение правил эксплуатации сетей? Там, как минимум, крупный ущерб нужен. В общем, как бы безграмотно ни были написаны статьи 28-ой главы УК, поик уязвимостей под них один фиг не подвести. А вот эксплуатацию — уже вполне возможно будет.
раскрыть ветку 8
+1

Мнение диванного юриста:
272  Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации.
При XSS и CSRF модификация данных таки происходит. Я так подозреваю довольно сложно будет доказать несанкционированный доступ в том случае, если ты отгадал пароль(как это у нас часто бывает root/admin/12345/qwerty) без брутфорса(тут оборудование может нагнутся на сервере да и за ддос могут принять - блокирование информации), т.к. по факту атак и модификаций данных никаких не было. Чукча не юрист, потому чисто ИМХО.

раскрыть ветку 3
0

неправомерный доступ наказывается по факту его наличия. думай, что говоришь,(Наказывается неправомерный доступ к охраняемой законом информации наказывается только если информация была как-то модифицирована) по твоему можно взломать любой банк, смотреть за операциями по счетам, главное ничего не модифицировать и тебе за это ничего не будет?
молодец. дерзай.
В Коми один уже дерзнул. сидит.

раскрыть ветку 3
-1

Не уверен)

раскрыть ветку 5
0

хы, ну проверь.

раскрыть ветку 4
0

Я нашел багу в linkedin.com когда писал парсер, собственно суть в том что можно получить платные данные контактов не платя им деньги. По данному вопросу создал тикет у них, и спросил если у них вознаграждение за найденные баги, на что они ответили вопросом "В чем заключается баг?" Повторив вопрос о вознаграждении, они закрыли тикет. Так что даже крупные компании "кладут болт" на такие вещи. Кстати уязвимости уже 6 месяцев и она по прежнему есть (6 месяцев я о ней знаю и пользуюсь ней)

раскрыть ветку 2
0

Увы, это случается   😦

раскрыть ветку 1
0

Так они то деньги теряют на этом, думаю я не один кто в курсе. Linkedin огромный ресурс, можно сказать монополист в кадровой сфере, особенно в IT

0
Можно вопрос ? А если бы у них не было вознаграждения за найденные баги, вы бы не прислали им Вами найденную уязвимость?
раскрыть ветку 1
-1

Прислал как я это и делаю если сайт не готов платить.

0

По сообщениям видно, что просто стандартные тупые пиздоботы из техпода нечитатели, поэтому напоследок вместо "ойвсё" нужно было развернуто упомянуть что обещалась награда.

0
А какая самая крупная компания уязвимость которой вы находили?
раскрыть ветку 3
+1

Webmoney, Xsolla (Steam через них платежи принимает), Twitch.tv

раскрыть ветку 2
0

Twitch хоть вознаградила?) очень уж интересно)
И какая самая ценная\наибольшая награда у вас была?

раскрыть ветку 1
0

@Coderast, может быть сможете посоветовать, что почитать и в каком направлении копать начать, чтобы углубиться в тему уязвимостей и всякого такого? :)

раскрыть ветку 6
+3

Я считаю что надо для начала выучить какой нибудь язык программирования что бы понять где чаще всего совершают ошибки другие программисты и где что может быть... Я сам по сути ничего не читал + надо прийти к "этому". Например я стал заниматься безопасностью когда однажды мой проект взломали и очень больно сделали моему самолюбию (Заполучив доступ к серверу и полностью взяв весь проект под контроль на 3 дня).

раскрыть ветку 4
0

Привет)
надеюсь увидишь мой коммент)
Если я хочу заняться тестированием веб. Что стоит конкретного подучить? По тестированию читал только савина. И где можно набраться опыта?
спасибо, если найдешь время ответить)

раскрыть ветку 3
0

Бери и ломай. Можешь Мыщъха почитать, он норм пишет, а дальше само пойдет, когда поймешь принцип.

0
А qiwi как вознаграждает кто вкурсе?
раскрыть ветку 4
+1

Вот почитай все подробно описано https://hackerone.com/qiwi

раскрыть ветку 3
0

эх блин прои***л я свои 100 зеленых!

-1
хсс и ссрф они не вознаграждают в киви, интересно...
раскрыть ветку 1
-1

"Забегу немного вперед....", ллгс

-4

Так называемые "белые хакеры", вместо того, чтобы работу работать, ищут лазят где что у кого плохо в надежде срубить баблишка. А если баблишка не дают, то они в своем благородстве спешат обнародовать указанные недостатки чужих проектов. Ибо обидно им, что баблишка не дали.

Можно ситуацию продемонстрировать на автомобилях:

По парковке ходит сервисмен и предлагает каждому автовладельцу выкупить инфу о том, где у него колодци подстерты, протектор уже лысоват итд. А если водитель не хочет отдавать денег, то доблестный и благородный сервисмен сразу бежит и стучит гаишникам =)

раскрыть ветку 6
+2

Я вижу у тебя огромный жизненный опыт... Отвечу так - меня посылали в открытую на 3 буквы платежные системы (В одной например я нашел SQL инъекцию) - ни разу я не выкладывал в публичный доступ информацию об этих уязвимостях и даже не упоминаю нигде эти компании. Если вы что-то говорите подкрепляйте пожалуйста это какими-то файтами.


P. S.: Я согласен что в семье не без урода но не совсем понимаю зачем вы обобщаете? Мне не раз предлагали в "черных каинг" влезть - ни разу я не соглашался на такое.

раскрыть ветку 5
0

!

0
Друг, а возможно как то с тобой связаться. Квип там, или скайп. У меня к тебе не совсем адекватная просьба. или 264364@mail.ru
раскрыть ветку 2
0

Я в такой компании проработал 2 недели, пока не разобрался чем именно компания занимается. Название ее Позитив Технолоджи, если интересно.

-18

Чувак, спасибо тебе....

Я думаю благодарность хоть кого то тебе сейчас будет кстати.

Я не имею никакого отношения к reg.ru ну и дальше по курсу...


Мужики епта повзрослейте, харе смотреть сериалы для умных мальчиков и текущих девочек.


N.B. Если о наболевшем то Вы когда нибудь пытались остановить человека от тушения пожара? 

Пожар у каждого свой,  у меня благодаря государству (и мне насрать что к нему больше не имею желания относится) технически гражданином я являюсь......

раскрыть ветку 4
+8
Вот ты вроде по-русски написал, а нихера не понятно по смыслу
раскрыть ветку 3
+5
Шизофазия, она такая.
раскрыть ветку 2
ещё комментарии
Похожие посты
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: