Про дефективных менеджеров в банке⁠⁠

Проси размер общего кредитного лимита, раз ты его знаешь.

Ты смотрит, были случаи когда таких энтузиастов потом еще и выебали за то что он нашел баг и сообщил

А нельзя их через суд тогда нагнуть? Раз безопасность данных нарушают?)

А на какую сумму тянет твоя помощь как ты считаешь?

Тем временем...

Согласно информации, которую опубликовала сама компания Google, в 2023 году 632 исследователя получили суммарно 10 миллионов долларов за поиск и ответственное оповещение о недостатках безопасности в продуктах и сервисах.

Самое высокое вознаграждение за сообщение об уязвимости в 2023 году составила 113 337 долларов, а общая сумма с момента запуска программы в 2010 году достигла 59 миллионов долларов.

Вот! На пикабу вы пиздабол, зато никаких проблем)))

В даркнет выкинь, может ребята порасторопнее, через эту уязвимость, смогут шороху навести. Пусть прочувствуют что такое кнут без пряника)

Да ладно! Никаких багов вы не видели. А просто историю на пикабу, для плюсиков выложили)))
Вот так и говорите)

А если я узнал о такой проблеме в виде возможнлсти свободного доступа к персональным данным, зарплатам, платежам предприятия, то лучше молчать в тряпочку?

Так вроде сбер как раз платит, как я понял.

Тут фишка в том, что если они будут платить за дыры, то каждый мамкинхакер будет их ломать 😁

Есть Bug Bounty Program, в которой многие организации готовы платить за найденные уязвимости открыто.
Во-вторых, если уязвимость критическая, то человек может с такими условиями просто плюнуть и продать ее в даркнете за деньги. Просто показывать кредитный лимит не отнести к критическим, но это вполне можно отнести к важной финансовой информации, за которую могли бы заплатить.
В третьих, исправление бага может занять сущий пустяк, а вот как его найти могли - либо случайно, либо прочекать все известные варианты уязвимостей, особенно если знаешь на чем бэк написан.
В четвёртых - зарплата вполне может составлять данную сумму, например, погугли глассдор и зарплату, скажем, в дойче банке - от $110к. Не 100 долларов в час но тоже много.

Резюмируя - нормальные компании как минимум пришлют вам благодарность за найденные баги, некоторые могут ещё и доплатить, а те, которые ещё и судом угрожать будут - ну что ж, сами себе злобные буратино.

Если для воспроизведения бага потребовалось, например, написать скрипт для браузерной консоли, то это тоже специальное ПО – он ведь для него специально предназначен :)

Так это Америка?

Расскажу тоже про дефективных менеджеров. Как и в ситуации описанной ТС, сделали то, за что многие платят, бесплатным и обязательным.
Собственно работал в компании, которая занималась интернет маркетингом и разработкой сайтов. Руководство придумало что грейды должны быть вообще у всех, не только у программистов. И ладно SEO специалисты, Программеры, Контекстники. Но они придумали грейды реально всем. У нас был midle HR, senior менеджер по продажам, junior аккаунт менеджер и тд. И, собственно, чтобы подстегнуть всех получать грейды они сделали правило, что если не повышаешь грейд за год - увольнение. Типа развиваться не хочешь. Для повышения грейдов сделали ряд требований, которые обычно являются добровольными в других компаниях, или за которые даже отдельно платят деньги. Например, чтобы перейти с Junior на Middle SEO нужно было выпустить как минимум 1 кейс, и сделать 2 доклада для коллег на какие-то темы. Чтобы перейти с мидла на сеньора надо уже отучить двух стажеров, иметь ещё 2 кейса, сделать несколько докладов, и написать статью в корпоративный блог компании. Многие забивали на это. И они показательно уволили самого опытного специалиста по контекстной рекламе, так как он 2 года не повышал грейд. Я тоже забил, но мне предложили перейти в другой отдел. Если бы не перешел, тоже наверное уволили бы.
Для сравнения, от двух бывших коллег, которые сменили работу, я узнал как с этим в других местах. В одном месте грейд назначается автоматически, в зависимости от качества работы, опыта, количество ведения проектов. В другом по результатам экзамена на знанение и качество и не более. В обоих местах статьи оплачиваются отдельно, выступления оплачиваются отдельно, кейсы оплачиваются отдельно (это тоже работа, которая занимает много времени. Оформить, расписать, наделать скринов и тд).

Во-первых, с чего вы решили что у них программист получает 100 долларов в час?

Это 20 000 долларов в месяц. Кто вам таких сказок нарассказывал?

Во-вторых, с чего вы решили, что обнаружить неисправность должно стоить столько же, сколько ее исправить? Пойдите вон в автосервис, расскажите это там, послушайте, что вам скажут.

Или вон платному врачу скажите - у меня болит вот тут, с вас пятьсот рублей за диагностику.

В-третьих, во всех фирмах, где ведется постоянная поддержка программного обеспечения, это делается недорогими программистами.

(порядка 20 в час, если банк американский, а может быть и меньше, если там программисты на аутсорсе, если поддержку осуществляет какая-нибудь российская компания - то может быть и 5 долларов в час.)

Но при этом всегда используется так называемая Bug Tracking System - система отслеживания ошибок. Она позволяет пользователю отослать информацию о найденной ошибке. С тем, что программисты когда-нибудь эту ошибку исправят. Информация о ходе исправления этой ошибки может быть доступна отправившему ее пользователю, может быть доступна только внутренним работникам - программистам и менеджерам.

И о том, чтоб за обнаруженные ошибки еще и денег платить - даже речи нет.

Скажите спасибо, что вам эти ошибки кто-то бесплатно исправляет.

Короче, не придумывайте чужих обязанностей в области, в которой ничего не понимаете.

Незаменимых у нас нет. Да, потеряли одного классного спеца. Но в тоже время десяток других прокачивал свои скиллы и жопу рвали за этот непонятный грейд. А такие незаменимые часто еще и дисциплину разлагают, словив звезду.

Руководитель в американской компании, которая работает во время СВО с российским банком? При этом вы еще жалуетесь, что банк за баг вам не заплатил? Вы как из дурки сбежали, уважаемый?

да просто нахуй ты им не нужен со своими багами, там 5000+ задач висит годами, и явно посерьезнее чем сотрудник компании, от которого строчку настройкой не скрыли. И еще одно гавно в этот бэклог вкидывать, которое тоже никогда не будет сделано, даже забесплатно не надо

Такой случай был в одном крупном банке. Парень нашел серьезный баг в приложении, написал в банк и на него полили в суд. В правилах пользования приложения написано, что запрещено анализировать предложение на различные баги и уязвимости.

Только ты в эту дырку видишь не деньги, а то что в сейфе, вроде бы что-то лежит. Но палец в дырку не пролезет. Но чувство собственной важности вам твердит что вы хакер небывалой величины. А банк вам сотку на мороженое зажмотил, лол. Наверное потому, что вы так называемый баг нашли под своей рабочей учеткой) 😂😂😂. В любом случае огромное спасибо за Ваш пост. Смешнее жадных, всегда только жадные и тупые))

а значит адвокаты, которые запросили 200К их не получили в итоге? Адвокаты у вас точно лучше чем программисты?

Господи, тебе никто ничего не должен. Работникам банка в хер не упёрлась твоя самодеятельность. Скажи спасибо, если баг исправят. А нет - хуй с ним, это не твое дело.

Ну я и имею ввиду, что будут пытатся со всех углов их колоть и ддосить

"Тупости и жадности банка?! " 😂😂😂 признавайтесь, с какой планеты прилетели? Штирлиц никогда не был так близко к провалу! 😁

Вот же ушлый и любопытный товарищ!
делает то, о чём не просили, ещё и ноет, про отсутствие благодарности. Ещё немного упорства и инициатива отимеет инициатора. Ну и по делом!

Во первых я вообще не слышал, что банки платят пользователям за поиск багов.

Во вторых кредитный лимит организации не является инсайдерской информацией, поэтому на его доступность всем похуй. У вас просто нет классификации важной информации, и вы не можете сравнить, нужно это или нет.

Даже если ты оформишь официальный репорт, исправлять сразу никто не побежит.

Теория заговора: возможно некоторые дырки оставляют чтобы некоторые спец службы имели возможность оперативно получить информацию об организациях без судебных проволочек ) и уж точно им не надо чтоб этот баг кто-то репортил и отслеживал его исправление.

А может это у них не баг, а фича.

Многие программные продукты в США поражают своим "интуитивно понятным интерфейсом".

Прямо бесит, когда в попытках найти какую-нибудь нужную фичу, про которую ты точно знаешь что она должна быть, обращаешься к тех.поддержке, и они такие: "Да, конечно", и проводят тебя через дикий лабиринт непредсказуемых менюшек, которых ни один вменяемый человек не додумался бы так нахуевертить.

Г - лоГика.

Тут вопрос не сколько, а что за баги, может там баг чисто визуальный, типа один элемент меню на 2 пикселя больше другого или можно случайно пальцем нажать в "невидимый" край кнопки заползающий одна на другую.

Это не вам не нужно. Это вы просто в шпиона играете. Для это существует целая куча систем, чтобы пользователь на фронте не получил лишних данных. Криптография, разграничение архитектуры, ролевая модель, системы аутентификации и много другое.

Если вы считаете, что это всё не работает, то напишите репорт. Но только нормальный, с скринами и описанием. А если вы просто вытащили цифру и хотите чтобы вам за это заплатили. 😂😂😂. В гугле за такой уровень бага тоже ничего не заплатят. Можете попробовать сломать с применением дополнительного ПО. Но есть шанс что вас выгонят с работы, а СБ банка вам вставит анальный зонд.

Как бывший работник отдела кибербезопасности я могу сказать, что это и близко не похоже на утечку данных. Вообще утечка данных это не профессиональный сленг. По вашему описанию это косяк ролевой модели. Кстати, поделитесь, как вы это обнаружили? F12 нажали? Мне нравится ваш подход, - я просто глубже не попал) Как это ты в банке такое раскопаешь? Ну-ка, расскажите, вместе посмеемся.

С одной стороны, ТС по жадности своей думал, что за какой нибудь минорный баг ему денег должны дать))

С другой стороны всякий ретейл постоянно присылает смс а-ля "помогите нам стать лучше" и "оцените свой последний визит". Таким образом они собирают обратную связь о своей работе. И не платят за неё. Пятерочка и Мерлен постоянно этим грешат

Ну тогда и нахуй не надо про него сообщать, вот еще. Если они такие жадные похуисты, то почему люди должны быть альтруистами-добродетелями? Пусть идут нахуй.

Вот поколение....

Ну ты продай на рынке свою багу узнаешь ее истинную рыночную стоимость (нулевая)

Если в договоре покапаться то ваша фирма может в судебном порядке от банка получить компенсацию.

А что за банк?

Ну и отправьте в гугл свой баг.

Автор, будь осторожнее, за поиск багов в РФ отдельная статья в УК РФ. Так что забей и забудь

Не просто так помочь, а заебаться, чтобы помочь.
Пользовался по работе одним сервисом, который обращения клиентов из вацапа, телеграмма и прочих сетей, скидывает в одно место.
во время работы сталкивался с неудобствами и писал им в саппорт. В какой-то момент стали отвечать:

Звучит как идея для улучшения нашего функционала)
Можете, пожалуйста, заполнить эту форму

Информация попадет в отдел проектирования, они проанализируют фичу и отдадут разработке, если фича популярна

ну, то есть, мое надо ещё что-то заполнять, чтобы они улучшили ссылку сервис, за который получают деньги.

Слышал обратное что некоторые фирмы производители софта даже соревнуются между собой у кого больше багов-уязвимостей найдут. Типа чем больше багов находят то меньше остаётся невыявленных.