📄 Сотрудник HackerOne продавал отчеты белых хакеров
Согласно сообщению HackerOne, один из сотрудников компании воровал отчеты об уязвимостях, поданные через платформу «bug bounty», и раскрывал их соответствующим клиентам для того, чтобы получить финансовое вознаграждение.
Расследование HackerOne выявило, что один из сотрудников имел доступ к платформе более двух месяцев, с момента своего прихода в компанию 4 апреля до 23 июня, и связался с семью компаниями, чтобы сообщить об уязвимостях, уже раскрытых через платформу.
За некоторые из представленных отчетов недобросовестный сотрудник получал вознаграждение. Это позволило HackerOne проследить денежный след и идентифицировать сотрудника компании, который занимался раскрытием уязвимостей для «многочисленных клиентских программ».
HackerOne также уведомил хакеров на платформе, чьи материалы были получены неизвестным сотрудником. Уведомление информирует хакеров об инциденте и включает список отчетов, к которым злоумышленник смог получить доступ.
🗞 Блог Кодебай
#bug #data
Согласно сообщению HackerOne, один из сотрудников компании воровал отчеты об уязвимостях, поданные через платформу «bug bounty», и раскрывал их соответствующим клиентам для того, чтобы получить финансовое вознаграждение.
Расследование HackerOne выявило, что один из сотрудников имел доступ к платформе более двух месяцев, с момента своего прихода в компанию 4 апреля до 23 июня, и связался с семью компаниями, чтобы сообщить об уязвимостях, уже раскрытых через платформу.
За некоторые из представленных отчетов недобросовестный сотрудник получал вознаграждение. Это позволило HackerOne проследить денежный след и идентифицировать сотрудника компании, который занимался раскрытием уязвимостей для «многочисленных клиентских программ».
HackerOne также уведомил хакеров на платформе, чьи материалы были получены неизвестным сотрудником. Уведомление информирует хакеров об инциденте и включает список отчетов, к которым злоумышленник смог получить доступ.
🗞 Блог Кодебай
#bug #data
😁13👍3
Историческая вирусология: сказание о мировом кровотечении - уязвимость HeartBleed: или как я случайно нашел несколько дыр в Codeby
Приветики, на повестке дня - очередная статейка по Исторической вирусологии, и теперь у нас разборе уже не червь из временного промежутка тысячи лет до нашей эры, а реальная история из 2014 года, а ведь это было так, вроде бы, недавно. HeartBleed - сердечное кровотечение или как одна ошибка чуть не уничтожила мир, поехали.
📌 Читать далее
#history #bug
Приветики, на повестке дня - очередная статейка по Исторической вирусологии, и теперь у нас разборе уже не червь из временного промежутка тысячи лет до нашей эры, а реальная история из 2014 года, а ведь это было так, вроде бы, недавно. HeartBleed - сердечное кровотечение или как одна ошибка чуть не уничтожила мир, поехали.
📌 Читать далее
#history #bug
👍9
Блог начинающего Bug Хантера. Ищем баги за еду. Часть 2
Сегодняшняя тема думаю многим будет интересна и многие смогут поучаствовать при желании. А речь пойдет о программе Bug Bounty от Азбуки Вкуса. И что мне понравилось в данной программе, то что оплату можно получать продуктами, точнее бонусами, которые придут на карту. Также можно и деньгами, но если бонусами, то это сумма умножается на 1.5.
📌 Читать далее
#bug #bounty
Сегодняшняя тема думаю многим будет интересна и многие смогут поучаствовать при желании. А речь пойдет о программе Bug Bounty от Азбуки Вкуса. И что мне понравилось в данной программе, то что оплату можно получать продуктами, точнее бонусами, которые придут на карту. Также можно и деньгами, но если бонусами, то это сумма умножается на 1.5.
📌 Читать далее
#bug #bounty
👍6🔥1
Блог начинающего Bug Хантера. Уязвимости при SMS-аутентификации + Кейсы. Часть 3.1
Здесь разберем уязвимости, с которыми можно столкнуться при реализации SMS-аутентификации. Все описанные уязвимости не просто в теории, а со всеми описанными типами уязвимостями встречался на пентестах и на BugBounty. К SMS-аутентификации переходят очень многие B2C сервисы, так как - это просто для пользователя. Не нужно запоминать какие-либо пароли, просто ввёл номер, получил код и на этом все. Но при разработке допускаются множество ошибок, которые приводят к серьезным уязвимостям и самая критическая из них, это захват аккаунта любого пользователя, зная только его номер телефона.
📌 Читать далее
#bug #bounty #sms
Здесь разберем уязвимости, с которыми можно столкнуться при реализации SMS-аутентификации. Все описанные уязвимости не просто в теории, а со всеми описанными типами уязвимостями встречался на пентестах и на BugBounty. К SMS-аутентификации переходят очень многие B2C сервисы, так как - это просто для пользователя. Не нужно запоминать какие-либо пароли, просто ввёл номер, получил код и на этом все. Но при разработке допускаются множество ошибок, которые приводят к серьезным уязвимостям и самая критическая из них, это захват аккаунта любого пользователя, зная только его номер телефона.
📌 Читать далее
#bug #bounty #sms
👍11🔥3❤🔥2
🤑 Яндекс увеличит награду за уязвимости в 2 раза
Яндекс увеличит награды за уязвимости, обнаруженные в сервисах и инфраструктуре компании в рамках программы "Охота за ошибками" в два раза. В 2023 году за обнаруженную ошибку можно будет получить до 1.5 млн рублей.
Также по некоторым направлениям будут проходить акции, сумма вознаграждения в которых будет в 10 раз выше, чем обычно.
Например, 10 января 2023 года буде запущен конкурс на месяц с увеличением выплат в 10 раз за наиболее критичные уязвимости по классам RCE и SQL-инъекции. Победители конкурса, которые сообщат об ошибках в этих классах по ссылке в период с 10 января по 9 февраля 2023 года включительно, получат денежное вознаграждение, увеличенное в десять раз.
🗞 Блог Кодебай
#news #bug #bounty
Яндекс увеличит награды за уязвимости, обнаруженные в сервисах и инфраструктуре компании в рамках программы "Охота за ошибками" в два раза. В 2023 году за обнаруженную ошибку можно будет получить до 1.5 млн рублей.
Также по некоторым направлениям будут проходить акции, сумма вознаграждения в которых будет в 10 раз выше, чем обычно.
Например, 10 января 2023 года буде запущен конкурс на месяц с увеличением выплат в 10 раз за наиболее критичные уязвимости по классам RCE и SQL-инъекции. Победители конкурса, которые сообщат об ошибках в этих классах по ссылке в период с 10 января по 9 февраля 2023 года включительно, получат денежное вознаграждение, увеличенное в десять раз.
🗞 Блог Кодебай
#news #bug #bounty
🔥17👍9👎3🤣2