Данный пост написан скорее с целью предостережения и ещё раз подтверждает мнение, что российские компании (а именно - руководство) и благодарность за найденные уязвимости в их продуктах - это несовместимые вещи.
Скажу сразу, я не выставляю каких-либо обвинений компании, т.к. никаких официальных договоров не было и я всё равно получил бесценный опыт в области поиска уязвимостей. Однако, если бы всё было так просто, то этого поста не было бы.
Предисловие
Долгое время в СНГ-сегменте сбора пожертвований успешно существовал только монополист в виде площадки DonationAlerts, причём так успешно, что площадку заметил и выкупил майлру и теперь каждому посетителю устанавливается браузер амиго и теперь составить конкуренцию в этой области стало ещё сложнее (а попыток было много). Качество услуг не очень хорошее, проценты за пользование площадкой довольно большие...
И вот, год назад, одна компания смогла прорваться и отвоевать свою долю рынка завлекая большим функционалом и реально выгодными условиями.
Вот о ней и будет вестись речь в данном посте.
Лично меня привлек сам проект в принципе, являясь активным пользователем площадок типо твича это был очень хороший вариант, имеющиеся партнёрская программа была приятным бонусом.
И понеслась
Возникла надобность автоматически выводить некоторые статистические данные и я полез изучать предоставленное разработчиками API. В результате чего была найдена уязвимость, позволяющая получить полный доступ к аккаунту пользователя (т.е. вообще полный - выводи деньги, меняй платёжные данные, ect.) через это самое апи (возможностями апи это никак не предусмотрено). О чём я сразу же сообщил в саппорт. Саппорт отреагировал быстро и в течение ночи всё было исправлено. И в этом случае даже снижение комиссии дали!
правда не обошлось без напоминаний
Данный вариант меня устроил и я пошёл дальше работать с площадкой, а имеющийся опыт из участия в программе тестирования вконтакте и других платформ помог обнаружить ещё множества мелких и не очень багов, о которых бескорыстно сообщал уже напрямую в лс сотрудникам (это важно) во благо развития площадки.
Всё так и продолжалось до одного момента.
В один момент была обнаружена серьёзная уязвимость, позволяющая выводить средства в двойном, а то и тройном объёме от имеющихся. Перед её отправкой я поинтересовался можно ли рассчитывать на денежное вознаграждение за такую серьёзную уязвимость, получив положительный ответ, я предворительно оценил, ориентируясь на другие платформы, в 500$. Сотрудник Алексей сообщил что это довольно много, но какое-то вознаграждение точно будет. И данный вопрос был отправлен на рассмотрение.
2 января:
Дальше пошли дни ожидания, я специально уточнил, не было ли отрицательного ответа. Я вполне понимал что у шефа может быть другое мнение, нежели у его сотрудников.
4 января:
В процессе ожидания я сдал ещё парочку уязвимостей возникших после обновления (9 января) и их быстро поправили. Однако не полностью.. и я сообщил что уязвимости ещё есть, но не стал вникать в суть, предоставив работу программистам, мне не нравилось, что по их же обещанию не слышно вообще ничего, как будто его и не было.
11 января я решить просто уточнить, возможно ли повышение процентов с партнёрки. Это мелочи, около 500-1000 в месяц.
За это они зацепились, спустя пару часов (видимо, посовещавшись с шефом) я получил такой ответ.
Честно сказав, что раз вы игнорируете мой вопрос, то и я пока данный вариант отклоню - будем ждать официальный ответ.
После этого мне напомнили что никаких договорённостей не заключали, но и я напомнил что ничего не подписывал, а данная ситуация обусловлена не желанием денег, а их наплевательским отношением.
Поняв, что дело в шефе и его желании выжать побольше выгоды практически ничего не отдавая взамен (или хотя бы в честном ответе, что с обещанием ошиблись - там придумать что фин. ситуация тяжёлая и выплат не будет), решил написать в саппорт их головной компании, с надеждой что там люди адекватнее, может там мне что-то разъяснят. Ответ я получил уже спустя 4 дня и ничего нового мне не сказали.
А перед этим при выводе я заметил что средства пришли мне опять же в двойном объеме - о чём всё-таки сразу сообщил в лс Алексею. Поэксперементировав (нужно было просто стараться нажимать как можно чаще на кнопку вывода(это какими криворукими программистами надо быть)), я вывел ещё пару раз, получив лишними около 600р.
А далее события развивались странно, не прошло и половины дня, шеф вдруг появился
и выдвинул претензию - я вывел лишние средства и таки ответил - никаких вознаграждений из-за этого не будет. А в добавок ещё и скидку у вас забираю (см. начало поста). И вообще, уходите.
Я уточнил, почему такие жесткие претензии, ведь и ранее в процессе поиска уязвимости я получал мелкие суммы пару раз и к ним никаких претензий не предъявлялось - я бы вернул без вопросов.
После этого, кстати, списали и те самые старые выводы, а комментировать ситуацию начали обычные сотрудники по шаблонам - шеф пропал опять.
Итого, что мы имеем: пару месяцев сотрудничества, десятки мелких и средних, пару критических уязвимостей, но в итоге неисполненные обещания и отзыв прошлых бонусов.
Да, никаких договоров не было, я сам виноват, поэтому я не имею претензий к компании, но это как минимум не красиво.
Вот и всё.
Не знаю мотивов шефа, но его реакция явно неадекватная. Такое чувство (а может так и есть), что это был просто повод чтобы отказать, хотя это можно было сделать и просто так.
Не повторяйте моих ошибок, спасибо тем кто дочитал до конца :)