Владимирский сервак, ветер в серверной...
БМ молчал.
БМ молчал.
Данный пост написан скорее с целью предостережения и ещё раз подтверждает мнение, что российские компании (а именно - руководство) и благодарность за найденные уязвимости в их продуктах - это несовместимые вещи.
Скажу сразу, я не выставляю каких-либо обвинений компании, т.к. никаких официальных договоров не было и я всё равно получил бесценный опыт в области поиска уязвимостей. Однако, если бы всё было так просто, то этого поста не было бы.
Предисловие
Долгое время в СНГ-сегменте сбора пожертвований успешно существовал только монополист в виде площадки DonationAlerts, причём так успешно, что площадку заметил и выкупил майлру и теперь каждому посетителю устанавливается браузер амиго и теперь составить конкуренцию в этой области стало ещё сложнее (а попыток было много). Качество услуг не очень хорошее, проценты за пользование площадкой довольно большие...
И вот, год назад, одна компания смогла прорваться и отвоевать свою долю рынка завлекая большим функционалом и реально выгодными условиями.
Вот о ней и будет вестись речь в данном посте.
Лично меня привлек сам проект в принципе, являясь активным пользователем площадок типо твича это был очень хороший вариант, имеющиеся партнёрская программа была приятным бонусом.
И понеслась
Возникла надобность автоматически выводить некоторые статистические данные и я полез изучать предоставленное разработчиками API. В результате чего была найдена уязвимость, позволяющая получить полный доступ к аккаунту пользователя (т.е. вообще полный - выводи деньги, меняй платёжные данные, ect.) через это самое апи (возможностями апи это никак не предусмотрено). О чём я сразу же сообщил в саппорт. Саппорт отреагировал быстро и в течение ночи всё было исправлено. И в этом случае даже снижение комиссии дали!
правда не обошлось без напоминаний
Данный вариант меня устроил и я пошёл дальше работать с площадкой, а имеющийся опыт из участия в программе тестирования вконтакте и других платформ помог обнаружить ещё множества мелких и не очень багов, о которых бескорыстно сообщал уже напрямую в лс сотрудникам (это важно) во благо развития площадки.
Всё так и продолжалось до одного момента.
В один момент была обнаружена серьёзная уязвимость, позволяющая выводить средства в двойном, а то и тройном объёме от имеющихся. Перед её отправкой я поинтересовался можно ли рассчитывать на денежное вознаграждение за такую серьёзную уязвимость, получив положительный ответ, я предворительно оценил, ориентируясь на другие платформы, в 500$. Сотрудник Алексей сообщил что это довольно много, но какое-то вознаграждение точно будет. И данный вопрос был отправлен на рассмотрение.
2 января:
Дальше пошли дни ожидания, я специально уточнил, не было ли отрицательного ответа. Я вполне понимал что у шефа может быть другое мнение, нежели у его сотрудников.
4 января:
В процессе ожидания я сдал ещё парочку уязвимостей возникших после обновления (9 января) и их быстро поправили. Однако не полностью.. и я сообщил что уязвимости ещё есть, но не стал вникать в суть, предоставив работу программистам, мне не нравилось, что по их же обещанию не слышно вообще ничего, как будто его и не было.
11 января я решить просто уточнить, возможно ли повышение процентов с партнёрки. Это мелочи, около 500-1000 в месяц.
За это они зацепились, спустя пару часов (видимо, посовещавшись с шефом) я получил такой ответ.
Честно сказав, что раз вы игнорируете мой вопрос, то и я пока данный вариант отклоню - будем ждать официальный ответ.
После этого мне напомнили что никаких договорённостей не заключали, но и я напомнил что ничего не подписывал, а данная ситуация обусловлена не желанием денег, а их наплевательским отношением.
Поняв, что дело в шефе и его желании выжать побольше выгоды практически ничего не отдавая взамен (или хотя бы в честном ответе, что с обещанием ошиблись - там придумать что фин. ситуация тяжёлая и выплат не будет), решил написать в саппорт их головной компании, с надеждой что там люди адекватнее, может там мне что-то разъяснят. Ответ я получил уже спустя 4 дня и ничего нового мне не сказали.
А перед этим при выводе я заметил что средства пришли мне опять же в двойном объеме - о чём всё-таки сразу сообщил в лс Алексею. Поэксперементировав (нужно было просто стараться нажимать как можно чаще на кнопку вывода(это какими криворукими программистами надо быть)), я вывел ещё пару раз, получив лишними около 600р.
А далее события развивались странно, не прошло и половины дня, шеф вдруг появился
и выдвинул претензию - я вывел лишние средства и таки ответил - никаких вознаграждений из-за этого не будет. А в добавок ещё и скидку у вас забираю (см. начало поста). И вообще, уходите.
Я уточнил, почему такие жесткие претензии, ведь и ранее в процессе поиска уязвимости я получал мелкие суммы пару раз и к ним никаких претензий не предъявлялось - я бы вернул без вопросов.
После этого, кстати, списали и те самые старые выводы, а комментировать ситуацию начали обычные сотрудники по шаблонам - шеф пропал опять.
Итого, что мы имеем: пару месяцев сотрудничества, десятки мелких и средних, пару критических уязвимостей, но в итоге неисполненные обещания и отзыв прошлых бонусов.
Да, никаких договоров не было, я сам виноват, поэтому я не имею претензий к компании, но это как минимум не красиво.
Вот и всё.
Не знаю мотивов шефа, но его реакция явно неадекватная. Такое чувство (а может так и есть), что это был просто повод чтобы отказать, хотя это можно было сделать и просто так.
Не повторяйте моих ошибок, спасибо тем кто дочитал до конца :)
Общался как-то с другом по поводу VR, далее копипаст его сообщения:
"тип который vr решение разрабатывает рассказал как у них бенчмарки устроены:
сажают юзера с плохим вестибулярным аппаратом за слабое железо - если блюванул - бенч не прошёл"
Заходит однажды тестировщик в бар и заказывает:
кружку пива,
2 кружки пива,
0 кружек пива,
999999999 кружек пива,
ящерицу в стакане,
–1 кружку пива,
qwertyuip кружек пива.
Одна вакансия, два кандидата. Сможете выбрать лучшего? И так пять раз.
Прочитав https://pikabu.ru/story/moya_pervaya_rabota_5520090 решил написать про свою первую работу.
Было это в далеком 2006 году. Я тогда закончив, 3й курс технического ВУЗа решил поискать работу летом, но с прицетом работать и в нелетний период и совмещать с учебой. Родители меня зачем то все гнали работать хоть кем-то, лишь бы работать. Хотя реально нужды такой не было, они это аргументировали, что лучше работать хоть как-то и кем попало, чем никак. Звучит как полный бред, если нет жесткой нехватки денег, это не имеет никакого смысла и работать лучше начинать после получения высшего образования и не заниматься глупостями. Но это был некий компромисс.
Сходив на пару собеседований на программиста, я понял, что я пока не дотягиваю ни разу.
Еще что удивляло, многие фирмы искали студентов, но почти никто не предлагал свободного графика, то есть как присутствовать в двух местах одновременно на учебе на дневном отделении и на работе в 40 часов с жестким графиком мне никто не смог ответить.
Я снизил свои амбиции до тестировщика. Подумал, наберусь некоторого опыта и денег немного заработаю.
На тестировщика меня взяли в первое же место. Но до этого я посетил с пару десятков собеседований на программиста и уже очень хотел найти работу и потому был очень упорный.
Это была фирма CBOSS. Тогда они говорили, что они крупнейшая IT компания России(что-то около 2К человек тогда там было). Как то гуглить тогда было не так распростренено и фирма показалась на первый взгляд нормальной. Несколько далековато у них офис был от моей шараги и места жительства, но жить можно.
Я раза 3-4 посещал офис до первого рабочего дня. Первый раз я приехал пообщался с HR-ом часик, затем меня отвели пообщаться с будущими коллегами из группы. Тк это была начальная позиция тестировщика меня самую малость чего то поспрашивали.
Потом перезвонили и сказали, что это собеседование прошел и нужно приехать и пройти iq тест - это заняло часа полтора. Потом сказали нужно приехать и пройти общий тест на общие знания. Этот было еще часа на 2-3. И только потом позвали на подпись бумаг различных. На каждую поездку я тратил по 2-2.5 часа в оба конца! Тк не было особо опыта работы и собеседований, я думал, что это возможно так и нужно.
ЗП, как я помню мне поставили в 400$(что тогда казалось нормально для студента 3-4 курса)! Тк я работал 30 часов, ЗП была нормирована до 300, на еду еще около 100 уходило. Итого после налогов и еды меньше 200 выходило на руки, что было уже очень негусто.
Сама фирма делала биллинговые системы для сотовых операторов, тогда МТС был крупный заказчик у них. В принципе вполне понятный бизнес и есть интересные задачи. Но организация всего и набор внутренней дичи просто зашкаливает.
Я смог там продержаться около 4 месяцев. Потом все мои будущие коллеги сильно удивлялись, как я смог так долго там работать. Хотя некоторые там годами работали! Так вот, что там было из того, что я помню:
1) печать на принтере нерабочих материалов - вычет из месячной ЗП, что-то типа 1% за 1 страницу(там какой то хитрый скрипт содержание как то анализировал и видимо, если подозрительно, то люди уже точно определяли).
2) если твое резюме запалили в интернете, то тебя увольняют через 2 недели - типа, раз оно там, значит ты ищешь работу, значит ты не заинтересован тут больше работать(логика очень смешная и дикая, конечно)!
3) время строго фиксировалось, то есть пришел, отметился на компе, пошел обедать - тоже отметился, что отошел. Если, например, забыл отметиться, на компе что отошел и вышел, пересекая турникет на первом этаже, то за это тоже какой то штраф.
4) Как я уже сказал время строго считается, если не доработал, сколько нужно в месяце, то помимо того, что меньше денег заплатят еще могут дополнительно штрафануть. Поэтому все в последние выходные месяца, тупо приезжали и высиживали время в офисе. Это было очень смешно и дико. Так же все время должно было быть распределено по задачам с точностью до 1/10 часа. А если делал, что-нить вроде настройки доступа или типа того, то тоже нужно было выделить и описать на что потратил это время в системе.
5) Интернет был весь закрыт, кроме некоторого списка сайтов, нужных и полезных для работы. Но гугл был открыт, поэтому можно было многое читать через кэш гугла.
6) Флешку подрубить нельзя было. Как то там это было ограничено. Всякие dropbox-ы тогда не были развиты. Внутренняя файлопомойка была чрезвычайно медленна. Передача файлов по работе превращалась в ад.
7) Кроме того было много внутренней пропаганды. Где всегда говорили, какая фирма крутая, какая у нее важная миссия, какой генеральный молодец и тд, даже, когда это было бредом откровенным. На дверях туалетов весела распечатанная миссия. То есть пока сидишь, чтоб зубрил.
8) Был отдельный этаж для генерального и его ближних подаванов и вассалов. Так же была отдельная столовка для них. Туда не было доступа у остальных работников. За все время работы, я ни разу не видел главного, вообще.
8) Вообще все очень бюрократизировано и прописано, буквально каждый чих. На каждую ерунду нужно было писать какую-то служебную записку.
Работа тестировщика была весма унылой и еще дикая нечеловеческая организация труда сделала свое дело. Проработав 4 месяца я сбежал от туда в другое место(которое казалось раем по сравнению с этим), офис которого находился в парке Сокольники, но это уже другая история. За более чем 10 лет работы в различных фирмах и странах я ни разу не сталкивался и не слышал про такую неадекватную дичь, с которой столкнулся на первой работе, зато воспоминание на всю жизнь.