Active Members akkiliON Posted July 2, 2013 Active Members Report Posted July 2, 2013 Exact aceasi chestie am patit si eu, am de un an de zile un bug la ei, doar pentru hall of fame, l-au confirmat, si nici azi nu au mai raspuns.Eu nu am avut nici o treaba cu eBay ! Am completat acel formular de pe site-ul lor, dupaia a durat ceva timp pana l-au fixat, si ultima faza m-au intrebat daca cumva doresc sa fiu adaugat in lista ! Quote
devbin Posted July 2, 2013 Report Posted July 2, 2013 Nu te mai obosi degeaba ei nu vor recunoaste in veci, am trimis din 2011 un raport catre ei si chiar si acum imi zic ca inginerii lor nu pot reproduce vulnerabilitatea chiar daca eu continuii sa o folosesc . Am reusit la inceputul anului sa o vand cu 800 euro pe Onion si cred ca am sa mai bag din nou anuntul acolo, nu mai am nici o speranta sa vad ceva de la PP, dar nici nu o fac publica doar de dragul de a le face publicitate negativa care uneori ajuta ! Quote
Active Members akkiliON Posted July 2, 2013 Active Members Report Posted July 2, 2013 Nu te mai obosi degeaba ei nu vor recunoaste in veci, am trimis din 2011 un raport catre ei si chiar si acum imi zic ca inginerii lor nu pot reproduce vulnerabilitatea chiar daca eu continuii sa o folosesc . Am reusit la inceputul anului sa o vand cu 800 euro pe Onion si cred ca am sa mai bag din nou anuntul acolo, nu mai am nici o speranta sa vad ceva de la PP, dar nici nu o fac publica doar de dragul de a le face publicitate negativa care uneori ajuta !Ce tip de vulnerabilitate ai gasit ? Intrebam doar Quote
mah_one Posted July 3, 2013 Author Report Posted July 3, 2013 (edited) Gata, mi-au promis ca se implica.Desi au zis ca vor verifica daca a fost vreo problema cu "delete any account", oricum nu cred ca mai primesc ceva, de indata ce l-au fixat fara sa vada ce le-am trimis eu, doar sa recunoasca ceva ala care mi-a dat "valid" pe ea.Altceva am de zis, mai cunosc pe cineva, am vorbit ieri cu el si a trimis o modalitate in decembrie anul trecut despre cum sa acceseze orice cont din paypal. L-au tinut 6 luni cu problema, in mai anul acesta au rezolvat problema si i-a raspuns cu "We can not to reproduce this problem anymore!"In main site, din ce am observat au acceptat doar probleme de genul XSS, CSRF, info disclosure, probleme minore in general, eu nu prea am vazut probleme grave facute publice despre main site. Mai e un caz in iunie, avea ca titlu: "PayPal Bug Bounty - a lesson in not being a fuckup" Edited July 3, 2013 by mah_one Quote
mah_one Posted August 7, 2013 Author Report Posted August 7, 2013 Ieri mi-au raspuns si mi-au zis ca problema a fost valida si ca au reparat rapid greseala identificata de mine. "has been found valid and immediately fixed"Nu si-au cerut scuze ca au gresit, dar si-au cerut scuze ca au intarziat cu un raspuns."I apologize for the delay,"P.S.: Sorry for double post. Quote
Zatarra Posted August 7, 2013 Report Posted August 7, 2013 Ieri mi-au raspuns si mi-au zis ca problema a fost valida si ca au reparat rapid greseala identificata de mine. "has been found valid and immediately fixed"Nu si-au cerut scuze ca au gresit, dar si-au cerut scuze ca au intarziat cu un raspuns."I apologize for the delay,"P.S.: Sorry for double post.Spune-le sa escaleze problema. Si ei lucreaza dupa modelul ITIL si nu stiu ce-mi face impresia ca tu ai parte doar de Stupid Level 1 Support Quote
ehd Posted August 7, 2013 Report Posted August 7, 2013 (edited) in afara de wikipedia unde gasesc ceva care sa ma ajute sa invat arhitectura ITIL si cum sa beneficiezi de punctele slabe ale ei? Vad ca esti in domeniu. Edited August 7, 2013 by ehd Quote
Zatarra Posted August 7, 2013 Report Posted August 7, 2013 in afara de wikipedia unde gasesc ceva care sa ma ajute sa invat arhitectura ITIL si cum sa beneficiezi de punctele slabe ale ei? Vad ca esti in domeniu.Faci curs si iti dai certificare ITIL v3 Foundation. Idea in ITIL ii sa intelegi si sa respecti procesul, nu sa profiti de punctele sale slabe. Toate firmele din domeniu IT care ofera customer support merg pe ITIL deoarece este cel mai bine structurat proces de rezolvare a problemelor/incidentelor in domeniul enterprise. Quote
mah_one Posted August 8, 2013 Author Report Posted August 8, 2013 (edited) Nu cunosc metodele de solutionare a incidentelor, dar am vorbit direct cu managerul lor.Nu a fost vina lui ca au raspuns asa greu cei de la dev team. Eu ma multumesc ca mi-au recunoscut munca.Am vorbit cu ei despre billsafe.de si mi-a zis ca e un conflict de opinii intre ei si m-au rugat sa mai astept pentru auth bypass in billsafe.deSa reamintesc cum a fost in billsafe.de27.01 - Kunz a trimis un auth bypass in billsafe si a primit 5000$Dev team-ul de la billsafe au facut un fix18 sau 19.02 am trimis un auth bypass total diferit (parametrii schimbati si altii adaugati), este clar ca au facut un patch.In aprilie au validat problema lui Kunz, iar mie mi-au dat Invalid (nu putea reproduce)pe 27.05 le-am trimis alt bypass auth in billsafe.de, in acelasi loc (am sa il fac public cand imi dau full bounty)(este fixed si nu mi-au zis valid, iar m-au pus in asteptare de trei luni)3 auth bypass issues in acelasi loc.Astept sa il valideze pe al doilea fiindca au pareri diferite la ei in team despre valididatea problemei trimise de mine. Edited August 8, 2013 by mah_one Quote