Про дефективных менеджеров в банке

Наша компания является клиентом одного крупного банка. Мне сделали там карточку и наш финансовый директор сделал мне аккаунт. Теперь я могу видеть остаток по карте, но у меня нет прав доступа увидеть общий кредитный лимит. В принципе, мне это не особо нужно, но так уж получилось что обнаружил интересный баг в системе банка, который позволяет этот лимит увидеть. Слышал, что многие крупные организации платят за поиск багов в системе безопасности. Не рассчитывал на миллион, но, думаю, крупный банк уж небольшую сумму выделить сможет. Стал искать, куда можно этот репорт отправить. Нагуглил отдельную страницу, где было указано, что банк никаких вознаграждений не выплачивает, и список требований, которые нужно соблюдать для отправки такого репорта. Посидел я, подумал и пришел к выводу, что нафиг мне писать развернутый отчёт учитывая все их требования, если даже спасибо не факт, что скажут. Вот так дефективные менеджеры мало того, что сделали дырявую систему, копеечной экономией делают все, чтобы эти дыры так и оставались не закрытыми.

2171
Автор поста оценил этот комментарий

Небольшой апдейт. У них даже специальный сайт, оказывается, есть для таких репортов. Там они отдельно подчёркивают, что платить никому не собираются, но, так уж и быть, при соблюдении всех их требований не подадут в суд на обнаружившего баг. Вот спасибо!

показать ответы
20
Автор поста оценил этот комментарий
Проси размер общего кредитного лимита, раз ты его знаешь.
раскрыть ветку (1)
26
Автор поста оценил этот комментарий

Хорошо бы, сумма там хорошая...

показать ответы
237
Автор поста оценил этот комментарий

Ты смотрит, были случаи когда таких энтузиастов потом еще и выебали за то что он нашел баг и сообщил

раскрыть ветку (1)
66
Автор поста оценил этот комментарий

Точно, именно это я и обнаружил. См. мой комментарий ниже

показать ответы
33
Автор поста оценил этот комментарий

А нельзя их через суд тогда нагнуть? Раз безопасность данных нарушают?)

раскрыть ветку (1)
17
Автор поста оценил этот комментарий

Не думаю. Ещё встречный подадут. Адвокаты у них, возможно, лучше, чем программисты. Но вы не представляете, что такое в Америке судиться. А с банком и я себе не представляю. Наша фирма отдала $150K за заведомо выигрышное дело, потому что адвокаты хотели $200K за процесс. Это просто было дешевле, но директор чуть локоть не откусила

показать ответы
15
Автор поста оценил этот комментарий
А на какую сумму тянет твоя помощь как ты считаешь?
раскрыть ветку (1)
62
Автор поста оценил этот комментарий

$100 бы устроило. Думаю, это з/п их программиста за пару часов максимум. Может даже за час. Банк американский. Моего времени ушло бы не меньше, требований там на экран текста.

показать ответы
50
Автор поста оценил этот комментарий

Тем временем...

Согласно информации, которую опубликовала сама компания Google, в 2023 году 632 исследователя получили суммарно 10 миллионов долларов за поиск и ответственное оповещение о недостатках безопасности в продуктах и сервисах.

Самое высокое вознаграждение за сообщение об уязвимости в 2023 году составила 113 337 долларов, а общая сумма с момента запуска программы в 2010 году достигла 59 миллионов долларов.

раскрыть ветку (1)
14
Автор поста оценил этот комментарий

Да, именно так. Поэтому багов у Гугла я случайно найти не могу. По крайне мере, в сфере безопасности :) В гугл авто их полно ))))

30
Автор поста оценил этот комментарий
Вот! На пикабу вы пиздабол, зато никаких проблем)))
раскрыть ветку (1)
37
Автор поста оценил этот комментарий

Ещё мне иска не хватало

показать ответы
27
Автор поста оценил этот комментарий

В даркнет выкинь, может ребята порасторопнее, через эту уязвимость, смогут шороху навести. Пусть прочувствуют что такое кнут без пряника)

раскрыть ветку (1)
24
Автор поста оценил этот комментарий

Ещё в наш счёт залезут)) не, спасибо, не надо)))

показать ответы
327
Автор поста оценил этот комментарий
Да ладно! Никаких багов вы не видели. А просто историю на пикабу, для плюсиков выложили)))
Вот так и говорите)
раскрыть ветку (1)
51
Автор поста оценил этот комментарий

Да, все придумал, никаких багов не обнаруживал. Официально заявляю.

показать ответы
8
Автор поста оценил этот комментарий

А если я узнал о такой проблеме в виде возможнлсти свободного доступа к персональным данным, зарплатам, платежам предприятия, то лучше молчать в тряпочку?

раскрыть ветку (1)
9
Автор поста оценил этот комментарий

Получается так

4
Автор поста оценил этот комментарий

Так вроде сбер как раз платит, как я понял.

раскрыть ветку (1)
9
Автор поста оценил этот комментарий

Ну хоть в чем-то молодцы. Их тут ругают, но на фоне ВТБ они прям ого-го

показать ответы
1
Автор поста оценил этот комментарий
Тут фишка в том, что если они будут платить за дыры, то каждый мамкинхакер будет их ломать 😁
раскрыть ветку (1)
9
Автор поста оценил этот комментарий

Так в этом и суть! Не должен их мамкинхакер сломать! Для этого и делают bug bounty всякие

показать ответы
32
Автор поста оценил этот комментарий
Есть Bug Bounty Program, в которой многие организации готовы платить за найденные уязвимости открыто.
Во-вторых, если уязвимость критическая, то человек может с такими условиями просто плюнуть и продать ее в даркнете за деньги. Просто показывать кредитный лимит не отнести к критическим, но это вполне можно отнести к важной финансовой информации, за которую могли бы заплатить.
В третьих, исправление бага может занять сущий пустяк, а вот как его найти могли - либо случайно, либо прочекать все известные варианты уязвимостей, особенно если знаешь на чем бэк написан.
В четвёртых - зарплата вполне может составлять данную сумму, например, погугли глассдор и зарплату, скажем, в дойче банке - от $110к. Не 100 долларов в час но тоже много.

Резюмируя - нормальные компании как минимум пришлют вам благодарность за найденные баги, некоторые могут ещё и доплатить, а те, которые ещё и судом угрожать будут - ну что ж, сами себе злобные буратино.
раскрыть ветку (1)
8
Автор поста оценил этот комментарий

Абсолютно верно

показать ответы
3
Автор поста оценил этот комментарий

Если для воспроизведения бага потребовалось, например, написать скрипт для браузерной консоли, то это тоже специальное ПО – он ведь для него специально предназначен :)

раскрыть ветку (1)
7
Автор поста оценил этот комментарий

Специальное ПО не писал. Обнаружил в процессе эксплуатации, просто наблюдательный. Проф.деформация

27
Автор поста оценил этот комментарий
Так это Америка?
Иллюстрация к комментарию
раскрыть ветку (1)
7
Автор поста оценил этот комментарий

Да, и тут фигня случается

показать ответы
11
Автор поста оценил этот комментарий

Расскажу тоже про дефективных менеджеров. Как и в ситуации описанной ТС, сделали то, за что многие платят, бесплатным и обязательным.
Собственно работал в компании, которая занималась интернет маркетингом и разработкой сайтов. Руководство придумало что грейды должны быть вообще у всех, не только у программистов. И ладно SEO специалисты, Программеры, Контекстники. Но они придумали грейды реально всем. У нас был midle HR, senior менеджер по продажам, junior аккаунт менеджер и тд. И, собственно, чтобы подстегнуть всех получать грейды они сделали правило, что если не повышаешь грейд за год - увольнение. Типа развиваться не хочешь. Для повышения грейдов сделали ряд требований, которые обычно являются добровольными в других компаниях, или за которые даже отдельно платят деньги. Например, чтобы перейти с Junior на Middle SEO нужно было выпустить как минимум 1 кейс, и сделать 2 доклада для коллег на какие-то темы. Чтобы перейти с мидла на сеньора надо уже отучить двух стажеров, иметь ещё 2 кейса, сделать несколько докладов, и написать статью в корпоративный блог компании. Многие забивали на это. И они показательно уволили самого опытного специалиста по контекстной рекламе, так как он 2 года не повышал грейд. Я тоже забил, но мне предложили перейти в другой отдел. Если бы не перешел, тоже наверное уволили бы.
Для сравнения, от двух бывших коллег, которые сменили работу, я узнал как с этим в других местах. В одном месте грейд назначается автоматически, в зависимости от качества работы, опыта, количество ведения проектов. В другом по результатам экзамена на знанение и качество и не более. В обоих местах статьи оплачиваются отдельно, выступления оплачиваются отдельно, кейсы оплачиваются отдельно (это тоже работа, которая занимает много времени. Оформить, расписать, наделать скринов и тд).

раскрыть ветку (1)
6
Автор поста оценил этот комментарий

Скажите, а куда с Senior повышать? Стать директором этой конторы, а то уволят? Побег из Шоушенка какой-то... Единственный выход пока не уволили - с бабками фирмы свалить через подземный ход

показать ответы
12
Автор поста оценил этот комментарий

Во-первых, с чего вы решили что у них программист получает 100 долларов в час?

Это 20 000 долларов в месяц. Кто вам таких сказок нарассказывал?

Во-вторых, с чего вы решили, что обнаружить неисправность должно стоить столько же, сколько ее исправить? Пойдите вон в автосервис, расскажите это там, послушайте, что вам скажут.

Или вон платному врачу скажите - у меня болит вот тут, с вас пятьсот рублей за диагностику.

В-третьих, во всех фирмах, где ведется постоянная поддержка программного обеспечения, это делается недорогими программистами.

(порядка 20 в час, если банк американский, а может быть и меньше, если там программисты на аутсорсе, если поддержку осуществляет какая-нибудь российская компания - то может быть и 5 долларов в час.)

Но при этом всегда используется так называемая Bug Tracking System - система отслеживания ошибок. Она позволяет пользователю отослать информацию о найденной ошибке. С тем, что программисты когда-нибудь эту ошибку исправят. Информация о ходе исправления этой ошибки может быть доступна отправившему ее пользователю, может быть доступна только внутренним работникам - программистам и менеджерам.

И о том, чтоб за обнаруженные ошибки еще и денег платить - даже речи нет.

Скажите спасибо, что вам эти ошибки кто-то бесплатно исправляет.


Короче, не придумывайте чужих обязанностей в области, в которой ничего не понимаете.

раскрыть ветку (1)
6
Автор поста оценил этот комментарий

$20 в час? Вы смеётесь? Тут минимальная $12, кажется. У нас интерны на стажировке больше получают. За такую за надо ещё немного вредить. Стоп...

Автор поста оценил этот комментарий
Незаменимых у нас нет. Да, потеряли одного классного спеца. Но в тоже время десяток других прокачивал свои скиллы и жопу рвали за этот непонятный грейд. А такие незаменимые часто еще и дисциплину разлагают, словив звезду.
раскрыть ветку (1)
5
Автор поста оценил этот комментарий

Не одна фирма развалилась под лозунгом "незаменимых нет" и "за забором очередь"...

показать ответы
Автор поста оценил этот комментарий

Руководитель в американской компании, которая работает во время СВО с российским банком? При этом вы еще жалуетесь, что банк за баг вам не заплатил? Вы как из дурки сбежали, уважаемый?

раскрыть ветку (1)
5
Автор поста оценил этот комментарий

Где я писал про российский банк?

#comment_308109825

показать ответы
9
Автор поста оценил этот комментарий

да просто нахуй ты им не нужен со своими багами, там 5000+ задач висит годами, и явно посерьезнее чем сотрудник компании, от которого строчку настройкой не скрыли. И еще одно гавно в этот бэклог вкидывать, которое тоже никогда не будет сделано, даже забесплатно не надо

раскрыть ветку (1)
4
Автор поста оценил этот комментарий

Да пожалуйста. Я просто строчку смотрю, кто-то, может посмотрит так же что-то более весомое.

32
Автор поста оценил этот комментарий

Такой случай был в одном крупном банке. Парень нашел серьезный баг в приложении, написал в банк и на него полили в суд. В правилах пользования приложения написано, что запрещено анализировать предложение на различные баги и уязвимости.

раскрыть ветку (1)
4
Автор поста оценил этот комментарий

Можно не надо? )))

Автор поста оценил этот комментарий

Только ты в эту дырку видишь не деньги, а то что в сейфе, вроде бы что-то лежит. Но палец в дырку не пролезет. Но чувство собственной важности вам твердит что вы хакер небывалой величины. А банк вам сотку на мороженое зажмотил, лол. Наверное потому, что вы так называемый баг нашли под своей рабочей учеткой) 😂😂😂. В любом случае огромное спасибо за Ваш пост. Смешнее жадных, всегда только жадные и тупые))

раскрыть ветку (1)
4
Автор поста оценил этот комментарий

Нигде не говорил про хакера небывалой величины. Я рук-ль отдела разработки ПО в американской компании и за такой баг в нашем ПО, когда пользователь получает доступ к данным, для него не предназначенным, премию бы точно не выписал. Если кто-то найдет такой баг, лично дам $100. Видимо, вам такие баги не мешают. Это замечательно. Вашему директору с вами повезло.

показать ответы
2
Автор поста оценил этот комментарий

а значит адвокаты, которые запросили 200К их не получили в итоге? Адвокаты у вас точно лучше чем программисты?

раскрыть ветку (1)
4
Автор поста оценил этот комментарий

Что-то получили, типа, за мировое соглашение. Но значительно меньше, конечно. Это не наши адвокаты, какая-то сторонняя контора.

8
Автор поста оценил этот комментарий
Господи, тебе никто ничего не должен. Работникам банка в хер не упёрлась твоя самодеятельность. Скажи спасибо, если баг исправят. А нет - хуй с ним, это не твое дело.
раскрыть ветку (1)
4
Автор поста оценил этот комментарий

Согласен. Только я им тоже ничего не должен. Пусть сидят со своей дырявой системой за кучу $

показать ответы
Автор поста оценил этот комментарий
Ну я и имею ввиду, что будут пытатся со всех углов их колоть и ддосить
раскрыть ветку (1)
3
Автор поста оценил этот комментарий

У меня не американский банк, но за ночь на сайт, бывает до 100 атак со всего мира. Подозреваю, на банк в сотни раз больше

Автор поста оценил этот комментарий
"Тупости и жадности банка?! " 😂😂😂 признавайтесь, с какой планеты прилетели? Штирлиц никогда не был так близко к провалу! 😁
раскрыть ветку (1)
3
Автор поста оценил этот комментарий

Ну обычно здесь банки привлекают клиентов. Видел предложения в виде бонуса до нескольких тысяч $ за открытие счета и депозит на пару месяцев. Конечно, положить нужно $100K, но это ОЧЕНЬ неплохой годовой процент в пересчёте (для застрахованного вклада, который можно в любой момент снять).

Автор поста оценил этот комментарий
Вот же ушлый и любопытный товарищ!
делает то, о чём не просили, ещё и ноет, про отсутствие благодарности. Ещё немного упорства и инициатива отимеет инициатора. Ну и по делом!
раскрыть ветку (1)
3
Автор поста оценил этот комментарий

Ноет? Скорее, удивился тупости и жадности банка

показать ответы
4
Автор поста оценил этот комментарий

Во первых я вообще не слышал, что банки платят пользователям за поиск багов.

Во вторых кредитный лимит организации не является инсайдерской информацией, поэтому на его доступность всем похуй. У вас просто нет классификации важной информации, и вы не можете сравнить, нужно это или нет.

Даже если ты оформишь официальный репорт, исправлять сразу никто не побежит.

раскрыть ветку (1)
3
Автор поста оценил этот комментарий

Ну, как бы, это утечка данных. Кстати, подозреваю что это не единственная информация, которую можно таким способом получить. Похоже на глобальную уязвимость, я просто глубже не копал, мне это на фиг не вперлось. Но масштабы проблемы, все же, должна СБ банка оценивать и их ИТ отдел.

показать ответы
35
Автор поста оценил этот комментарий

Теория заговора: возможно некоторые дырки оставляют чтобы некоторые спец службы имели возможность оперативно получить информацию об организациях без судебных проволочек ) и уж точно им не надо чтоб этот баг кто-то репортил и отслеживал его исправление.

раскрыть ветку (1)
3
Автор поста оценил этот комментарий

Ну, у меня доступ только к счету своей организации, не к любой. Просто такого уровня доступа у меня нет, эти данные я видеть не должен (и по умолчанию не вижу). Если б не обнаружил баг, так и ходил бы в неведении

5
Автор поста оценил этот комментарий

А может это у них не баг, а фича.

Многие программные продукты в США поражают своим "интуитивно понятным интерфейсом".

Прямо бесит, когда в попытках найти какую-нибудь нужную фичу, про которую ты точно знаешь что она должна быть, обращаешься к тех.поддержке, и они такие: "Да, конечно", и проводят тебя через дикий лабиринт непредсказуемых менюшек, которых ни один вменяемый человек не додумался бы так нахуевертить.

Г - лоГика.

раскрыть ветку (1)
2
Автор поста оценил этот комментарий

Гарантирую, это баг.


В исполком пришла жалоба: "Напротив моего окна женская баня. Мне все видно и это отвлекает меня и вообще действует на мой моральный облик. Прошу предоставить мне новую квартиру".

Приехала комиссия, смотрят в окно.

— Ну и что? Ничего не видно!

— А вы на шкаф залезьте!

— Ну, залез,

— все равно не видно!

— Двигайтесь левее...

— Все равно не видно!

— Еще левее!

Тут представитель двигается и падает с края шкафа.

— Вот видите! А я так целый день!

12
Автор поста оценил этот комментарий

Тут вопрос не сколько, а что за баги, может там баг чисто визуальный, типа один элемент меню на 2 пикселя больше другого или можно случайно пальцем нажать в "невидимый" край кнопки заползающий одна на другую.

раскрыть ветку (1)
2
Автор поста оценил этот комментарий

Типа такого, да

Автор поста оценил этот комментарий

Это не вам не нужно. Это вы просто в шпиона играете. Для это существует целая куча систем, чтобы пользователь на фронте не получил лишних данных. Криптография, разграничение архитектуры, ролевая модель, системы аутентификации и много другое.

Если вы считаете, что это всё не работает, то напишите репорт. Но только нормальный, с скринами и описанием. А если вы просто вытащили цифру и хотите чтобы вам за это заплатили. 😂😂😂. В гугле за такой уровень бага тоже ничего не заплатят. Можете попробовать сломать с применением дополнительного ПО. Но есть шанс что вас выгонят с работы, а СБ банка вам вставит анальный зонд.

раскрыть ветку (1)
2
Автор поста оценил этот комментарий

Мне нравится - я считаю, что не работает. Я получил конкретную цифру, заснял на видео процесс. Процесс легко повторяемый. Какие ещё нужны доказательства? Фронт дырявый, и все криптографии сами раскриптографились и дали все, что нужно. У вас может быть какой угодно надёжный замок в сейфе, только в сейфе сбоку дырка...

показать ответы
1
Автор поста оценил этот комментарий

Как бывший работник отдела кибербезопасности я могу сказать, что это и близко не похоже на утечку данных. Вообще утечка данных это не профессиональный сленг. По вашему описанию это косяк ролевой модели. Кстати, поделитесь, как вы это обнаружили? F12 нажали? Мне нравится ваш подход, - я просто глубже не попал) Как это ты в банке такое раскопаешь? Ну-ка, расскажите, вместе посмеемся.

раскрыть ветку (1)
2
Автор поста оценил этот комментарий

Не, F12 не причем. Да копать, в-общем, есть куда. Проблема с отображением данных. Я обнаружил только эти, но, возможно, какие-то другие цифры тоже можно вытащить. Мне это просто не нужно. Я думаю для банка такие баги это прежде всего репутационные издержки. Если я случайно наткнулся, то что что там можно раскопать если специально заняться. Позорники!

показать ответы
Автор поста оценил этот комментарий

С одной стороны, ТС по жадности своей думал, что за какой нибудь минорный баг ему денег должны дать))

С другой стороны всякий ретейл постоянно присылает смс а-ля "помогите нам стать лучше" и "оцените свой последний визит". Таким образом они собирают обратную связь о своей работе. И не платят за неё. Пятерочка и Мерлен постоянно этим грешат

раскрыть ветку (1)
2
Автор поста оценил этот комментарий

Гугл за такое до $31000 платит:

https://bughunters.google.com/about/rules/google-friends/662...

Банк крупный, меньше Гугла, но все же. А жадный - я?

Здесь доктор на вас посмотрит и скажет: вы знаете, я не знаю что с вами делать. Нужно идти к кому-то ещё.

Это весь прием. С вас $1000.

Абсолютно реальный случай, произошедший лично со мной

показать ответы
22
Автор поста оценил этот комментарий
Ну тогда и нахуй не надо про него сообщать, вот еще. Если они такие жадные похуисты, то почему люди должны быть альтруистами-добродетелями? Пусть идут нахуй.
раскрыть ветку (1)
2
Автор поста оценил этот комментарий

Точно

9
Автор поста оценил этот комментарий

Вот поколение....

Ну ты продай на рынке свою багу узнаешь ее истинную рыночную стоимость (нулевая)

раскрыть ветку (1)
8
Автор поста оценил этот комментарий

Я думаю им стоит продать своих программистов. Ценность нулевая

3
Автор поста оценил этот комментарий
Если в договоре покапаться то ваша фирма может в судебном порядке от банка получить компенсацию.
раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Теоретически возможно

показать ответы
2
Автор поста оценил этот комментарий
А что за банк?
раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Честно говоря, не хочу писать. А что это изменит? Входит в 20ку крупнейших

Автор поста оценил этот комментарий

Ну и отправьте в гугл свой баг.

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Ну так Гугл платит за баги в своих системах. Нафига им чужие

18
Автор поста оценил этот комментарий

Автор, будь осторожнее, за поиск багов в РФ отдельная статья в УК РФ. Так что забей и забудь

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Учту, спасибо.

8
Автор поста оценил этот комментарий

Не просто так помочь, а заебаться, чтобы помочь.
Пользовался по работе одним сервисом, который обращения клиентов из вацапа, телеграмма и прочих сетей, скидывает в одно место.
во время работы сталкивался с неудобствами и писал им в саппорт. В какой-то момент стали отвечать:

Звучит как идея для улучшения нашего функционала)
Можете, пожалуйста, заполнить эту форму

Информация попадет в отдел проектирования, они проанализируют фичу и отдадут разработке, если фича популярна

ну, то есть, мое надо ещё что-то заполнять, чтобы они улучшили ссылку сервис, за который получают деньги.

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Именно. И прикроют полезный для меня баг

Автор поста оценил этот комментарий

Слышал обратное что некоторые фирмы производители софта даже соревнуются между собой у кого больше багов-уязвимостей найдут. Типа чем больше багов находят то меньше остаётся невыявленных.

раскрыть ветку (1)
Автор поста оценил этот комментарий

Очень странная закономерность.