mah_one

Ce sa mai zic, mi-am mai amintit de ceva. Le zic ca fac un POST, fara sa fiu autentificat si fara cookies, pun un numar intr-un parametru din POST, iar server-ul raspunde cu toate detaliile despre cc, bank account (daca am), nume, prenume, expire date la cc si multe altele, iar ei zic "Unde e problema de securitate?". Sincer imi e si frica sa fac publica problema, nu vreau sa imi o iau, din cauza unui *** de angajat de la ei. (nu prea injur asa ca pun cu steluta, las pe fiecare sa inteleaga). Tin sa precizez ca e adevarat ca sunt sanse mici sa nimeresti ceva bun, dar e vorba de un numar, simplu Integer. P.S.: scuze de double post!

Aline, crede-ma le dai si dovezi si degeaba. Altceva vreau sa punctez, si anume ca nu trebuie sa se ia 100% dupa video, dar ar putea sa le dea un semn ca ceva a fost si ca cine a validat dupa 5 zile, nu a valdiat degeaba si ca a raportat sa se faca un fix. Tot ce au de facut este sa vorbeasca cu cei de la dev team.

cred ca am in lista aia cu probleme trimise la ei vreo 10 probleme invalide... imi e si scarba de ei. Jumate si acum le reproduc, iar restul sunt reparate. Imi e ciuda cel mai tare de aia cu billsafe.de mi-au dat "Invalid", iar in video se vede clar le luam conturile.

nu ai inteles, problema e rezolvata si nu vor sa recunoasca ca fost o problema in acel loc.

Le-am trimis acum 5 minute alt email si mi-au raspuns: "I apologize for the inconvenience. We notified you in May that the incorrect response was sent regarding UID **** and advised you it was in submitted status rather than valid status. When this bug was reviewed by our security engineers they could not reproduce it. In order to validate a bug we must be able to reproduce the issue. My sincere apologies for any frustration regarding this matter."

Buna, Pe 27 aprilie 2013 am trimis o problema la paypal despre cum sa dau delete la orice cont din site-ul lor. Pe 05.04.2013 am primit ca status pentru aceasta problema "Valid", dupa vreo 2 saptamani mi-au schimbat statusul la loc in "Submited". Eu am fost foarte ocupat perioda asta cu examenele si cu lucrarea de diploma, chiar nu am mai putut sa ma implic. Le-am trimis un mesaj pe la jumatatea lui iunie, prin care le-am mai zis odata ca era o problema cu asta, iar ei nu au mai raspuns. Acum doua ore i-am rugat sa se mai uite odata pe situatia acestei probleme si mi-au trimis asta: "Thanks for contacting us. I have reviewed your UID and see we were unable to reproduce this bug and requested more information from you on it. When no information was received your bug was marked invalid as we could not reproduce this bug." Am facut si un P.o.C. lui Domnul.Do, iar acesta a confirmat, iar cine il cunoaste pe Domnul.Do poate sa confirme ca e o persoana de incredere. Alt P.o.C. i l-am facut si lui toshiba. Ce sa mai zic?... foarte dezamagit... As dori o persoana care poate sa ma ajute sa fac publica aceasta situatie, am sa ii dau si un video cu problema, video in care se vede clar cum dau delete la un cont ca mai apoi sa fac altu cu alte detalii si alta parola. Toate cele bune, Cernica Ionut

Am primit pe draq, la faza cu billsafe.de nu vor sa ma lamureasca. Au incercat sa ma prinda la faza cu luatul cc-urilor in plain text, iar eu am pus punctul pe "i", i-am intrebat daca pot face disclosure, iar nu ma mai baga in seama. La un Csrf din noiembrie anul trecut pe care l-au reparat cam intr-o luna, nici email-ul de la mine nu il mai au cu report-ul. La problema cu delete any account, au tacut pana acum o saptamana cand mi-au zis ca din video reiese ca ar fi fost o problema, dar nu o mai pot reproduce. Eu deja am facut doua demonstratii, lui domnul.do si lui toshiba (dar ce pot sa fac). In schimb au tinut sa ma felicite pentru auth bypass, au reparat in 2 zile de cand au vazut email-ul meu. Mi-au mai validat un brute force attack, desi ei zic clar ca nu se califica acest tip de problema (probabil si-au dat si ei seama ca nu poate sa zica ca nu e problema din moment ce eu faceam cate request-uri vroiam la ei pe un anumit cont, iar ei nu ma blocau in vreun fel). Mi-au mai validat si un important info disclosure, oricum nu are importanta ca e important, fiindca ei platesc aceeasi suma pentru orice info disclosure. Cam astea sunt partile rele si partile bune.

Daca cauti pe realitatea ai sa gasesti un articol foarte tare despre acea eroare. Au spart niste hackeri site-ul youtube si acum e down, de aia apare acea eroare.

Am si eu o problema raportata exact acolo, pe 08.05, nu era profile_id, ideea era ca puteai sa iti atribui orice numar de telefon fara a mai fi nevoie de codul_sms, puteam sa pun si 072222222 si nu eram nevoit sa pun sms_code, probabil au schimbat si au gresit din nou. Mie mi-au raspuns dupa cateva saptamani cu o intrebare idioata si de atunci nu am mai avut nici un semn de la ei. M-am uitat acum la ce le-am trimis atunci si nu era nici un profile_id.

378b243e220ca493 : test

Parca astia hostau site-urile malitioase de la RedOctober...

Bravo Ionut, imi pare bine ca vad exemple bune, tot mai des, pe rstcenter. Crede-ma, ai facut cea mai buna alegere, sper ca acest exemplu sa fie vazut de cat mai multi membrii si sa inteleaga ca poti iesi in evidenta si cu lucruri bune, nu numai cu lucruri rele( loguri, etc).

Mi-au zis ca e invalida problema asta. Nu am falsificat nimic in video. Nu imi vine sa cred:( P.S.: imi cam dau seama ce s-a intamplat, pe 27.01 unul de la vulnerability lab le-a trimis o problema cum sa fure orice cont de pe client.billsafe.de, dev team-ul de pe client.billsafe.de au reparat problema rapid, eu pe 19.02 am trimis partial aceeasi problema(vezi video de mai sus). Eu le-am explicat ca ar putea fi valida si ca ce a trimis primul researcher nu e aceeasi problema cu ce am trimis eu, iar ei mi-au pus "INVALID" la status. Sorry for double post, dar nu avea rost sa mai deschid alt topic.

Imi pare rau ca am postat aici, chiar mi-a zis unul sa nu postez nimic aici ca vor fi care nu o sa creada si ca sunt multi care comenteaza aiurea. io.kent, tu chiar crezi ca intereseaza pe cineva ca ai citit 2 pagini si ca ai obosit?

ElChief, eu le-am trimis o modalitate( demonstrata in problem report-ul trimis la ei) prin care pot vizualiza in plain text credit card-ul unui user random + alte informatii importante. Iar ei mi-au raspuns la ce le-am trimis eu lor prin "Si cum poate afecta ce ai gasit tu userii nostrii?". Eu am inteles ca exista posibilitatea ca cel care a citit sa nu fi inteles care e cu adevarat problema si iar le-am explicat ce le-am trimis eu initial si anume ca m-am autentificat pe un cont cu care fac eu teste si ca de pe acel cont am putut sa vad, in plain text, cardul meu de credit + expire date in plain text( in caz ca aveam bank account si pe ala il puteai vedea). Cei drept sansa sa dai peste un credit card sau bank account e destul de mica. Dar pentru o firma ca paypal nu trebuie sa existe sansa nici de 0.0001% sa poti da peste un credit card valid al unui client doar incrementand sau decrementand un numar. Tot ce ai de facut este sa lasi un wfuzz sa isi faca treaba sau intruder de la Burp Suite. In legatura cu pustiul, nu stiu la cine te referi, dar eu nu sunt un pusti. Asta cu cc-urile nu fac demo, e mai sigur pentru mine, dar P.o.C. la delete any account am facut deja lui Domnul.Do, iar la faza cu auth bypass pana nu primesc raspuns de la ei nu fac release la video + ca mai am inca una tare de care nu v-am zis-> cum sa furi anumite conturi de pe unul din site-urile ce apartine de paypal (am deja video, ii fac release cand rezolva problema). graffik, nu am inteles ce ai vrut sa zici cu " si sa ramai curat". M-a prins pe mine cineva ca mint? Am facut eu ceva gresit? Sunt doar presiuni fiindca sunteti prea curiosi, eu am zis ferm ca nu dau nimic pana nu rezolva paypal problema. Nu as minti mai ales ca numele meu adevarat e foarte usor de aflat, daca vroiam sa mint as fi creat un cont anonim si ma laudam aiurea.

daca fac un p.o.c. pe cineva, trebuie sa iti cer sa faci ceva si iti vei da seama care e problema, dupa cum am zis faza e pe useri random si nu pot sa o reproduc stiind email-ul victimei. Cei drept sansele sa reusesti nu sunt mari, dar ideea e ca merge.

Eu sper ca imi da restul pana la 1000$. In billsafe.de cand am raportat un reflected XSS, mi-au dat 50$ initial payment, iar remaining bounty a fost de 450$.

DEci, ma jur, le-am aratat cum imi vizualizam credit card-ul + expire date + nume, prenume, etc( mai mult -> daca aveam bank account il arata si pe ala in plain text); iar ei ma intreaba cum poate afecta asta userii:)). Merge pe random useri, dar ideea este ca merge.

Nu mai zic ca mi-au invalidat o problema prin care reusesc sa extrag credit card in plain text + expire date + name + alot of info despre un cont( merge pe conturi random, oricum ideea este ca MERGE). Initial au pus "Valid", ca apoi sa ma intrebe cum aceasta problema de securitate le poate afecta userii.)))))) Cred ca le-am trimis vreo 3 email-uri prin care le explic cum, iar ei imi raspund ca nu vad nici o problema de securitate..... O sa le mai dau un ultim email in care ii intreb asa: "Daca nu e o problema de securitate, pot sa fac publica acasta problema?" SAU nici nu ii mai intreb si fac direct un full disclosure.

Tocmai am primit un email de la ei, in care cineva care nu are nici o legatura cu securitate IT si-a dat cu parerea.....(in proportie de 80% cred asta). Am zis ca "nu are nici o legatura cu securitate IT", fiindca ma tot lua cu "our security engineer on.......". Eu i-am rugat sa se mai uite odata pe ce le-am trimis in ultimile luni, iar cine "s-a uitat" pe ce le-am trimis in ultimile luni, defapt nu se uitase, el/ea verificase cand am trimis email catre ei si ce status a fost atribuit acelui problem report trimis de mine si nu facuse exact ce i-am rugat sa faca. Mi se par cam varza, acum 3 saptamani au validat problema cu delete any account on paypal, iar acum au schimbat in "Submited"( e cam ciudata faza asta), chiar ma gandeam ca tare greu era sa verifice ce le-am zis in acel email. Sincer, nu stiu la ce sa ma mai astept de la ei. Alt aspect negativ ar fi ca am foarte multe probleme cu status "valid" si cand e sa trimita initial payment trimit doar pe 2,3 probleme, iar restul le pastreaza pe luna viitoare. Aseara am primit initial payment -> 250$ pe un csrf, si 325$ pe un stored xss in main site, cand puteau sa imi mai dea si pe acea problema cu "delete any account" un initial payment, "auth bypass" FULL PAYMENT, etc.

Imi pare rau, dar nu am mai primit raspuns in legatura cu aceasta problema, ba mai mult mi-au trimis o lista cu status-ul pe care il am la fiecare bug, si mi-au pus la multe probleme "invalid" + ala cu delete any account on paypal, dupa ce l-au validat acum am la status "Submited".... Mi-au promis ca se uita din nou pe lista si vor verifica si vor veni cu un raspuns la inceputul saptamanii asteia.

Sunt prea multi ... care cred ca daca dau jos un website sau sparg un website sunt adevarati hackeri ...

Eu recomand sa cumperi un program de criptare privat cu cheie privata, si pui pe unul in Romania sa iti cripteze filmele si sa ti le urce pe un site privat sau rogi pe cineva cunoscut din romania sa iti dea remote access, downloadezi in calculatorul din Romania ce film vrei, fisierul il criptezi with a strong encryption si il urci pe un site privat. Nu stiu ce mecanisme au ei de detectie, dar nu cred ca va fi vreo problema daca folosesti ce ti-am descris.

Bravo lui, dar tot nu inteleg de ce cei de la Pro TV nu aleg pe cineva, care are experienta mult mai multa in acest domeniu, sa vorbeasca despre domeniul securitatii IT.

Buna, Nu m-am mai uitat de foarte mult timp la eurovision si nici aseara nu m-am uitat, dar am observat o chestie ciudata intr-o reclama la eurovision si anume ca votul costa 1.24 euro centi. Acum 5-6 ani, cand ma uitam si eu la eurovision, imi aduc aminte ca nu era nici o taxa pe vot. Ma intreb daca in alte tari exista o astfel de taxe pe vot, oare nu o fi ideea unui "smecher" de romania si asta cu taxarea votului? Astept pareri.