Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты

Про дефективных менеджеров в банке

Наша компания является клиентом одного крупного банка. Мне сделали там карточку и наш финансовый директор сделал мне аккаунт. Теперь я могу видеть остаток по карте, но у меня нет прав доступа увидеть общий кредитный лимит. В принципе, мне это не особо нужно, но так уж получилось что обнаружил интересный баг в системе банка, который позволяет этот лимит увидеть. Слышал, что многие крупные организации платят за поиск багов в системе безопасности. Не рассчитывал на миллион, но, думаю, крупный банк уж небольшую сумму выделить сможет. Стал искать, куда можно этот репорт отправить. Нагуглил отдельную страницу, где было указано, что банк никаких вознаграждений не выплачивает, и список требований, которые нужно соблюдать для отправки такого репорта. Посидел я, подумал и пришел к выводу, что нафиг мне писать развернутый отчёт учитывая все их требования, если даже спасибо не факт, что скажут. Вот так дефективные менеджеры мало того, что сделали дырявую систему, копеечной экономией делают все, чтобы эти дыры так и оставались не закрытыми.

[моё] Банк Информационная безопасность Эффективный менеджер Текст
381
Вы смотрите срез комментариев. Показать все
4
Bobrowolf
Автор поста оценил этот комментарий

Во первых я вообще не слышал, что банки платят пользователям за поиск багов.

Во вторых кредитный лимит организации не является инсайдерской информацией, поэтому на его доступность всем похуй. У вас просто нет классификации важной информации, и вы не можете сравнить, нужно это или нет.

Даже если ты оформишь официальный репорт, исправлять сразу никто не побежит.

раскрыть ветку (12)
3
sergey499
Автор поста оценил этот комментарий

Ну, как бы, это утечка данных. Кстати, подозреваю что это не единственная информация, которую можно таким способом получить. Похоже на глобальную уязвимость, я просто глубже не копал, мне это на фиг не вперлось. Но масштабы проблемы, все же, должна СБ банка оценивать и их ИТ отдел.

раскрыть ветку (10)
1
Bobrowolf
Автор поста оценил этот комментарий

Как бывший работник отдела кибербезопасности я могу сказать, что это и близко не похоже на утечку данных. Вообще утечка данных это не профессиональный сленг. По вашему описанию это косяк ролевой модели. Кстати, поделитесь, как вы это обнаружили? F12 нажали? Мне нравится ваш подход, - я просто глубже не попал) Как это ты в банке такое раскопаешь? Ну-ка, расскажите, вместе посмеемся.

раскрыть ветку (9)
2
sergey499
Автор поста оценил этот комментарий

Не, F12 не причем. Да копать, в-общем, есть куда. Проблема с отображением данных. Я обнаружил только эти, но, возможно, какие-то другие цифры тоже можно вытащить. Мне это просто не нужно. Я думаю для банка такие баги это прежде всего репутационные издержки. Если я случайно наткнулся, то что что там можно раскопать если специально заняться. Позорники!

раскрыть ветку (8)
Bobrowolf
Автор поста оценил этот комментарий

Это не вам не нужно. Это вы просто в шпиона играете. Для это существует целая куча систем, чтобы пользователь на фронте не получил лишних данных. Криптография, разграничение архитектуры, ролевая модель, системы аутентификации и много другое.

Если вы считаете, что это всё не работает, то напишите репорт. Но только нормальный, с скринами и описанием. А если вы просто вытащили цифру и хотите чтобы вам за это заплатили. 😂😂😂. В гугле за такой уровень бага тоже ничего не заплатят. Можете попробовать сломать с применением дополнительного ПО. Но есть шанс что вас выгонят с работы, а СБ банка вам вставит анальный зонд.

раскрыть ветку (7)
2
sergey499
Автор поста оценил этот комментарий

Мне нравится - я считаю, что не работает. Я получил конкретную цифру, заснял на видео процесс. Процесс легко повторяемый. Какие ещё нужны доказательства? Фронт дырявый, и все криптографии сами раскриптографились и дали все, что нужно. У вас может быть какой угодно надёжный замок в сейфе, только в сейфе сбоку дырка...

раскрыть ветку (6)
Bobrowolf
Автор поста оценил этот комментарий

Только ты в эту дырку видишь не деньги, а то что в сейфе, вроде бы что-то лежит. Но палец в дырку не пролезет. Но чувство собственной важности вам твердит что вы хакер небывалой величины. А банк вам сотку на мороженое зажмотил, лол. Наверное потому, что вы так называемый баг нашли под своей рабочей учеткой) 😂😂😂. В любом случае огромное спасибо за Ваш пост. Смешнее жадных, всегда только жадные и тупые))

раскрыть ветку (5)
4
sergey499
Автор поста оценил этот комментарий

Нигде не говорил про хакера небывалой величины. Я рук-ль отдела разработки ПО в американской компании и за такой баг в нашем ПО, когда пользователь получает доступ к данным, для него не предназначенным, премию бы точно не выписал. Если кто-то найдет такой баг, лично дам $100. Видимо, вам такие баги не мешают. Это замечательно. Вашему директору с вами повезло.

ещё комментарии
2
Аватар пользователя KoRuZKoRuZ
Автор поста оценил этот комментарий
На текущий момент имеется две крупных площадки по Bug Bounty в России - BI.Zone и Standoff365. Но не все программы (в т.ч. банков) являются публичными. В самих же программах имеется как описание какие уязвимости принимаются, описывается скоуп в рамках которого можно проводить поиск и указаны те баги, что в целом примут, но выплаты за них не будут оказывать.
Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку