nacks Posted July 24, 2013 Report Posted July 24, 2013 Target: AT&TURL: att.comTested on: Win7 – Mozilla Firefox 22.0PoC:1.Raportat ...We have been unable to reproduce the issue that you have reported using the steps provided.We appreciate your report and encourage you to report future findings.Sincerely,AT&T Bug Bounty Team2.Trimis video si astept raspuns ... Quote
Active Members dancezar Posted July 24, 2013 Active Members Report Posted July 24, 2013 Frumos au bugbonty nu?Congrats! Quote
nacks Posted July 24, 2013 Author Report Posted July 24, 2013 Au, dar nu am reusit sa trimit raportul din pagina lor ... asa ca a trebuit sa trimit un mail la un alt departament care a trimis mailul unde trebuie ... cred As a convenience to you we are forwarding this report to the ATT BugBounty mailbox for further processing. Quote
dekeeu Posted July 24, 2013 Report Posted July 24, 2013 Din cate stiu eu ,ei platesc doar vulnerabilitatile din portalul dedicat developeri-lor si doar daca te-ai inscris inainte in nustiu ce program de-al lor (se percepe o taxa de 50~100 $) . Quote
Active Members akkiliON Posted July 24, 2013 Active Members Report Posted July 24, 2013 Dac? le-ai trimis de pe mail ai f?cut un câcat ! Asa am raportat ?i eu 2 XSS-uri ?i nu au raspuns ?i le-au reparat ! Nici un mul?umesc nu am primit înapoi de la ei. ON:Felicit?ri Quote
VaD_SuNeTe Posted July 24, 2013 Report Posted July 24, 2013 Felicitari .Ce inapt esti ma, faci posturi in prostie !!!!! doar un singur cuvant, numai latra aiurea prin posturi ca o sa te trezesti cu warnuriON: Au bugbounty felicitari pentru "marea" reusita. Quote
nacks Posted July 24, 2013 Author Report Posted July 24, 2013 Dac? le-ai trimis de pe mail ai f?cut un câcat !Asa am raportat ?i eu 2 XSS-uri ?i nu au raspuns ?i le-au reparat ! Nici un mul?umesc nu am primit înapoi de la ei.ON:Felicit?ri Asa cum spuneam, nu am reusit sa trimit din aplicatia lor (primeam o eroare). Am vorbit pe mail si mi au spus sa le trimit acolo si vor trimite ei mai departe. E foarte posibil sa fie asa cum spui tu ptc discutiile au mers bine pana le am trimis vulnerabilitatea, iar apoi au uitat sa raspunda la mail Quote
Domnul.Do Posted July 24, 2013 Report Posted July 24, 2013 (edited) Daca nu esti inscris in "Developer API program" care te costa ~ 100$ , raportul tau nu o sa il valideze si nici nu o sa primesti cine stie ce feedback .Eu am gasit in fiecare domeniu a lor , erau peste 8 XSS-uri si nu am vazut nimic pana in ziua de azi .Oricum, Felicitari!OffTopic:Nu are rost sa cauti in AT&T si Yandex , iti spun din propria experienta. Edited July 24, 2013 by Domnul.Do Quote
nacks Posted July 24, 2013 Author Report Posted July 24, 2013 Daca nu esti inscris in "Developer API program" care te costa ~ 100$ , raportul tau nu o sa il valideze si nici nu o sa primesti cine stie ce feedback .Eu am gasit in fiecare domeniu a lor , erau peste 8 XSS-uri si nu am vazut nimic pana in ziua de azi .Oricum, Felicitari!OffTopic:Nu are rost sa cauti in AT&T si Yandex , iti spun din propria experienta.Da, stiu ca trebuie sa platesti pt a te inscrie in acel program ... MS de sfat Quote
Active Members akkiliON Posted July 24, 2013 Active Members Report Posted July 24, 2013 OFF:Nu c?uta?i vulnerabilit??i nici în Yandex. Ca s? nu v? trezi?i c? nu v? r?spund !Am citit undeva dar numai ?in minte unde c? sunt neserio?i ! Quote
florin_darck Posted July 24, 2013 Report Posted July 24, 2013 OFF:Nu c?uta?i vulnerabilit??i nici în Yandex. Ca s? nu v? trezi?i c? nu v? r?spund !Am citit undeva dar numai ?in minte unde c? sunt neserio?i !Am vazut pe twitter cativa care au primit bani de la yandex si cativa care se plangeau ca nu mai ajung banii. Seriosi, neseriosi unii tot au primit banii Quote
Active Members akkiliON Posted July 24, 2013 Active Members Report Posted July 24, 2013 (edited) Am vazut pe twitter cativa care au primit bani de la yandex si cativa care se plangeau ca nu mai ajung banii. Seriosi, neseriosi unii tot au primit baniiSigur care au primit reward nu cred c? au fost pe ni?te XSS-uri sau altele mai minore. Acum nu ?tiu ce s? spun. Dar majoritatea ?i-au luat ?eap?. Iar eu zic c? nu se merit? dac? mult? lume se plânge c? nu au primit nimic. Î?i pierzi timpul cu ei. Edited July 24, 2013 by akkiliON Quote
yo20063 Posted July 24, 2013 Report Posted July 24, 2013 Poate gresesc, dar in cazul asta eu as dovedi cat de periculoasa poate deveni acea vulnerabilitate in mainile cui nu trebuie, si le-as spune sa incerce sa tina cont de cine si ce trimite....macar cu un Multumesc. Asa, ca sa nu aiba surprize neplacute pe viitor Stiu ca a devenit un forum de "mistocari", daca nu va convine ce am scris, va rog nu bagati in seama Quote
nacks Posted March 8, 2014 Author Report Posted March 8, 2014 Raspuns final:Dear *** ****,We are pleased to let you know that AT&T has successfully remediated the vulnerability you disclosed. We truly appreciate and want to recognize your help in improving the security of AT&T by listing your name on the AT&T Bug Bounty Hall of Fame, if it is not already included. Please let us know how you would like your name to appear on our AT&T Bug Bounty Hall of Fame. By providing the response, you are granting AT&T permission to publish your name as a contributor.Additionally, you will be considered for a 1Q14 Top 10 Reporter Award recognition which, if selected, will provide you with a monetary payout. You will be notified in a separate communication if you have been selected.Thank you again for your participation in the AT&T Bug Bounty Program. Sincerely,AT&T BugBounty Team Quote
Active Members MrGrj Posted March 8, 2014 Active Members Report Posted March 8, 2014 Mai bine mai tarziu decat niciodata. Dupa mai bine de juma' de an. Felicitari si la cat mai multe. Quote
BlackHats Posted March 14, 2014 Report Posted March 14, 2014 Am raportat si eu un Content Source Disclosure si vreo 2 XSS-uri si am primit raspuns de la ei dupa 7 luni de zile. Au spus ca sunt valabile pentru un bonus de 400$ toate si ca trebuie sa le completez documentele. Le-am completat pe toate (imi spuneau ca daca nu le trimit in maxim 24 sau 48 de ore se anuleaza plata -- adica eu astept peste jumatate de an si ei au pretentia ca in maxim 48 de ore sa fiu prompt -- super). Oricum le-am trimis in 24 de ore tot, dupa care ma anunta dupa 1 luna ca un document cu datele bancare nu a fost completat. Si daca nu le trimit in 24 de ore acel document imi anuleaza plata. Evident ca nu imi verific din ora in ora mail-ul (dupa 2 zile m-am lasat pagubas) si i-am anuntat ca s-a facut o greseala de la ei. Sa verifice bine. Le-am facut din nou forward la mail-ul trimis anterior in care se observa foarte clar ca nu era nimic in neregula.Evident ca nu au raspuns. Am zis sa fiu macar trecut in Hall of Fame dar nici aia nu au facut. Sunt niste javre ordinare ce se scarpina in cur si cand aud de 100 de $. Quote
Active Members akkiliON Posted March 14, 2014 Active Members Report Posted March 14, 2014 Am raportat si eu un Content Source Disclosure si vreo 2 XSS-uri si am primit raspuns de la ei dupa 7 luni de zile. Au spus ca sunt valabile pentru un bonus de 400$ toate si ca trebuie sa le completez documentele. Le-am completat pe toate (imi spuneau ca daca nu le trimit in maxim 24 sau 48 de ore se anuleaza plata -- adica eu astept peste jumatate de an si ei au pretentia ca in maxim 48 de ore sa fiu prompt -- super). Oricum le-am trimis in 24 de ore tot, dupa care ma anunta dupa 1 luna ca un document cu datele bancare nu a fost completat. Si daca nu le trimit in 24 de ore acel document imi anuleaza plata. Evident ca nu imi verific din ora in ora mail-ul (dupa 2 zile m-am lasat pagubas) si i-am anuntat ca s-a facut o greseala de la ei. Sa verifice bine. Le-am facut din nou forward la mail-ul trimis anterior in care se observa foarte clar ca nu era nimic in neregula.Evident ca nu au raspuns. Am zis sa fiu macar trecut in Hall of Fame dar nici aia nu au facut. Sunt niste javre ordinare ce se scarpina in cur si cand aud de 100 de $.Eu dup? ce am primit banii de la ei, mi-or cerut s? le trimit mail (nu e-mail) cu formularul W8-BEN completat ?i semnat de mine.Le-am zis c? îl voi "trimite". Quote
BlackHats Posted March 14, 2014 Report Posted March 14, 2014 Eu dup? ce am primit banii de la ei, mi-or cerut s? le trimit mail (nu e-mail) cu formularul W8-BEN completat ?i semnat de mine.Le-am zis c? îl voi "trimite".Nu inteleg de ce ai simtit sa imi atragi atentia cu "greseala" mea care defapt nici nu exista. Am scris tot mail! Dar daca scriam e-mail era la fel de corect. "I sent a email/e-mail/mail/electronic mail | it's the same shit".On: Nu mi-au trimis nici un ban. Au zis ca nu am completat formularul W8-BEN. Dar le-am aratat ca nu a existat aceasta problema. Si nu au mai raspuns. Cum ziceam sunt niste jigodii ce au un sistem de plata dezastruos. Quote
Active Members akkiliON Posted March 14, 2014 Active Members Report Posted March 14, 2014 (edited) Nu inteleg de ce ai simtit sa imi atragi atentia cu "greseala" mea care defapt nici nu exista. Am scris tot mail! Dar daca scriam e-mail era la fel de corect. "I sent a email/e-mail/mail/electronic mail | it's the same shit".On: Nu mi-au trimis nici un ban. Au zis ca nu am completat formularul W8-BEN. Dar le-am aratat ca nu a existat aceasta problema. Si nu au mai raspuns. Cum ziceam sunt niste jigodii ce au un sistem de plata dezastruos.Eu m? refeream la cei de la AT&T c? sunt ni?te prosti. Mai ales la faza asta: Le-am completat pe toate (imi spuneau ca daca nu le trimit in maxim 24 sau 48 de ore se anuleaza plata -- adica eu astept peste jumatate de an si ei au pretentia ca in maxim 48 de ore sa fiu prompt -- super)Please mail (not e-mail) your original signed W-8 form to:AT&T[numele lu' aia/?la] – Room: XX-G-01909 Chestnut StreetSaint Louis, MO 63101.ThanksAT&T Bug Bounty Team Edited March 14, 2014 by akkiliON Quote
