Korzystanie z cudzych błędów: 4 historie sukcesu łowców błędów

Spis treści:

• Przypadek etycznego hakera: „Moje wysiłki zostały wycenione na dwa tysiące rubli”
• Przejście na New Horizons: Moje doświadczenie z Bug Bounty
• Jak zarobiłem 10 000 USD na GitHubie i czego się dzięki temu nauczyłem

Przypadek etycznego hakera: „Moje wysiłki zostały docenione Dwa tysiące rubli"

Siergiej Wakulin jest ekspertem w dziedzinie bezpieczeństwa komputerowego i informacyjnego, specjalizującym się w wyszukiwaniu luk w aplikacjach internetowych. Jego zainteresowanie tą dziedziną zaczęło się rozwijać już w trakcie studiów, kiedy dążył do zdobycia nowej wiedzy i umiejętności. Szybko zdał sobie sprawę, że jego hobby może nie tylko wzbogacić jego doświadczenie zawodowe, ale także stać się źródłem dochodu. Wykorzystując swoje doświadczenie i wiedzę, z powodzeniem pomaga organizacjom chronić dane i poprawiać bezpieczeństwo systemów.

Początkowo Siergiej nie miał pojęcia o specjalistycznych platformach, takich jak HackerOne. Aby znaleźć luki w zabezpieczeniach, polegał na ocenach stron internetowych dostępnych na platformach Rambler i Mail.ru. Zgłaszając swoje odkrycia programistom, Siergiej spotkał się z różnymi reakcjami — od oskarżeń o wymuszenia po oferty drobnych nagród. To doświadczenie nauczyło go, jak ważne jest właściwe podejście do interakcji z programistami i jak ważne jest korzystanie ze specjalistycznych zasobów w celu zapewnienia bezpiecznych praktyk bezpieczeństwa informacji.

W 2018 roku Siergiej zidentyfikował dwie krytyczne luki w zabezpieczeniach programu Bug Bounty na portalu VKontakte. Pierwsza luka dotyczyła funkcji importu numerów telefonów, co umożliwiało dostęp do danych osobowych popularnych blogerów, w tym Nikołaja Sobolewa i Kseni Plyushevej. Druga luka umożliwiała odzyskanie usuniętych wiadomości użytkowników, stwarzając ryzyko wycieku poufnych informacji. Incydenty te podkreślają wagę zapewnienia bezpieczeństwa danych w usługach online i potrzebę ciągłego monitorowania luk w zabezpieczeniach.

Początkowo VKontakte zaoferował Siergiejowi 100 dolarów za jego odkrycie, ale ostatecznie otrzymał 500 dolarów. Okazało się to dla niego miłą niespodzianką.

Współpraca z firmami nie zawsze jest bezproblemowa. Niedawny incydent z dużym sklepem internetowym był dla Siergieja prawdziwym bólem głowy. W lutym 2021 roku odkrył dwie luki XSS, które zagrażały bezpieczeństwu użytkowników, umożliwiając atakującym dostęp do kont i danych bankowych. Takie luki podkreślają wagę regularnych audytów bezpieczeństwa aplikacji internetowych i potrzebę szybkiego reagowania na zidentyfikowane problemy w celu ochrony interesów użytkowników i utrzymania reputacji firmy.

Strona internetowa firmy reklamowała nagrodę za znalezienie błędu, w wysokości od 15 000 do 50 000 rubli. Jednak gdy Siergiej próbował zgłosić znalezione błędy, odkrył, że adres e-mail programu nagród za znalezienie błędu jest nieaktywny. Po skontaktowaniu się z pomocą techniczną dowiedział się, że firma wypłaci mu tylko dwa tysiące rubli.

Deweloperzy zaskoczyli go kolejną niemiłą niespodzianką, stwierdzając, że luki nie stanowią zagrożenia, a jedna z nich została rzekomo naprawiona. W rezultacie Siergiejowi podpisano kontrakt, który zobowiązywał go do pracy dla firmy przez dwa miesiące za symboliczną stawkę dwóch tysięcy rubli i obejmował dożywotni zakaz ujawniania informacji. Siergiej odmówił podpisania umowy i ostatecznie został pozbawiony jakiegokolwiek wynagrodzenia.

Fedor Muzalevsky, dyrektor działu technicznego w RTM Group, zaleca etycznym hakerom dokładne zapoznanie się z warunkami umów przed rozpoczęciem badań nad lukami w zabezpieczeniach. Podkreśla, że ​​nie wszystkie firmy oferujące nagrody wywiązują się ze swoich zobowiązań. Ważne jest, aby rejestrować wszystkie szczegóły, w tym kwoty nagród i opisy wykrytych luk w zabezpieczeniach. Takie działania pomogą uniknąć nieporozumień i zapewnią godziwe wynagrodzenie za wykonaną pracę.

Według Muzalevsky'ego działania hakera można zakwalifikować na podstawie artykułu 273 rosyjskiego kodeksu karnego. Jednak nieuczciwe działania firmy nie zwalniają jej z odpowiedzialności. Jeżeli haker spełnił wszystkie warunki programu, ma prawo ubiegać się o nagrodę na drodze sądowej, gdyż wiele programów bug bounty jest traktowanych jako oferta publiczna. Podkreśla to znaczenie przestrzegania warunków programów nagród za luki w zabezpieczeniach i konieczność uwzględniania przez firmy aspektów prawnych w swoich działaniach.

Przejście na New Horizons: moje doświadczenia z programem Bug Bounty

Rozpocząłem karierę w skanowaniu luk w zabezpieczeniach dwa lata temu, mimo braku formalnego wykształcenia technicznego. Moje umiejętności programistyczne ograniczają się do podstawowego poziomu Pythona. Jednak dzięki mojej reputacji i udanym raportom uzyskałem dostęp do zamkniętych programów bug bounty. Dało mi to możliwość wyboru firm oferujących wysokie nagrody i szybkie przetwarzanie raportów. Staram się rozwijać swoje umiejętności i pogłębiać wiedzę z zakresu cyberbezpieczeństwa, aby móc skutecznie identyfikować luki w zabezpieczeniach i przyczyniać się do ochrony systemów informatycznych.

Kilka miesięcy temu natknąłem się na konflikt interesów ze znanym producentem odkurzaczy, co skłoniło mnie do rozważenia nowej ścieżki kariery. Zainteresowałem się ich programem bug bounty, który oferuje możliwość znajdowania luk w zabezpieczeniach zarówno w domenach głównych, jak i subdomenach. Rozszerzenie zasięgu ataku znacznie zwiększa szanse na sukces łowcy błędów. Dzięki takiemu podejściu nie tylko poprawisz swoje umiejętności, ale także przyczynisz się do bezpieczeństwa aplikacji internetowych, co staje się coraz ważniejsze w dzisiejszym cyfrowym świecie.

Ostatnio otrzymałem powiadomienie, że mój atak na panel administracyjny witryny oferującej cyfrową samoobsługę i integrację z asystentem głosowym zakończył się sukcesem. Zidentyfikowałem lukę w zabezpieczeniach Blind-XSS na stronie zwrotów produktów, co umożliwiło mi dostęp do danych osobowych klientów. Później odkryto, że witryna była powiązana z konkretnym producentem.

Aby potwierdzić lukę, musiałem uzyskać pliki cookie, ale nie miałem do nich dostępu w tym momencie. Znałem jedynie adres IP komputera, na którym nastąpił atak, oraz informacje o agencie użytkownika. Przygotowałem raport i przesłałem go, mając nadzieję na nagrodę w wysokości 1000 dolarów za zidentyfikowanie krytycznych luk w zabezpieczeniach.

Mój raport został sprawdzony przez ekspertów HackerOne, którzy filtrują zgłoszenia niekrytyczne. Wiedząc, że nie mam absolutnych dowodów, poprosiłem z wyprzedzeniem o mediację, aby powiadomienie o odkrytej luce mogło zostać wysłane bezpośrednio do producenta. Jednak nie otrzymałem odpowiedzi.

W rezultacie mój raport został odrzucony. Doszedłem do wniosku, że odkryta przeze mnie luka nie stanowi poważnego zagrożenia. Dlatego postanowiłem opublikować informację o odkrytym błędzie na moim blogu w serwisie Medium, informując firmę z wyprzedzeniem o zbliżającej się publikacji. Pozwoli to innym specjalistom ds. bezpieczeństwa informacji poznać ten problem i, być może, pomóc w ulepszeniu ochrony przed podobnymi lukami w przyszłości.

Kieruję się zasadą: jeśli luka zostanie potwierdzona, należy się nagroda. W przeciwnym razie opublikuję wyniki moich badań. Takie podejście promuje odpowiedzialność w branży bezpieczeństwa i zachęca programistów do poprawy bezpieczeństwa swoich produktów.

Po tym otrzymałem powiadomienie od firmy HackerOne, która wspierała producenta. Ponownie przeskanowałem witrynę w poszukiwaniu luki w zabezpieczeniach Blind-XSS i potwierdziłem jej istnienie. W rezultacie udało mi się uzyskać pliki cookie i kod HTML z panelu administracyjnego zawierające dane osobowe klientów.

Opublikowałem dowód w postaci filmu na moim kanale YouTube, co doprowadziło do masowych skarg ze strony firmy. Mimo to mój kanał YouTube pozostał aktywny, ale mój blog na Medium został zablokowany.

Jeśli nagroda za ujawnienie luki w zabezpieczeniach jest znacząca, haker może zatrudnić notariusza do poświadczenia kodu źródłowego strony, co pomoże mu w dalszej obronie swoich praw. Prawnik Michaił Bożor z kancelarii Afonin, Bożor & Partners zauważa, że ​​koszt takiej usługi zaczyna się od 10 000 rubli. Poświadczenie notarialne kodu źródłowego zapewnia ochronę prawną i potwierdza wykrycie luki w zabezpieczeniach, co może być przydatne zarówno dla hakera, jak i firmy, która chce rozwiązać problem i uniknąć potencjalnych konsekwencji.

Jeśli istnieje prawidłowo sporządzona umowa z klientem, nie będzie on mógł kwestionować istnienia luki w zabezpieczeniach w przypadku sporu sądowego, zauważył ekspert. Podkreśla to wagę prawnie poprawnych relacji umownych dla ochrony interesów obu stron. Dobrze sporządzona umowa nie tylko stanowi podstawę współpracy, ale także gwarantuje, że strony będą przestrzegać warunków umowy, co jest szczególnie ważne w obszarze bezpieczeństwa informacji.

Jak zarobiłem 10 000 USD na GitHubie i czego się dzięki temu nauczyłem

Dla Przez ostatnie trzy lata identyfikowałem luki w zabezpieczeniach systemów informatycznych. Chociaż moją główną specjalizacją jest bezpieczeństwo informacji, to jednak nie wystarczy, aby z powodzeniem pracować w obszarze bug bounty. Znam wiele osób, które zmieniają ścieżkę kariery, w tym znajomego lekarza, który postanowił spróbować swoich sił w etycznym hakowaniu. Ta dziedzina wymaga nie tylko wiedzy teoretycznej, ale także umiejętności praktycznych, co czyni ją atrakcyjną dla specjalistów z różnych dziedzin.

Niedawno odkryłem poważną lukę w zabezpieczeniach GitHub, za którą przyznano nagrodę w wysokości 10 000 dolarów. Luka ta umożliwiała nieautoryzowany dostęp do dowolnego konta i zdalne wykonanie kodu. Zdałem sobie sprawę, że gdybym zdołał wykorzystać ten błąd przed jego naprawieniem, potencjalna nagroda mogłaby wynieść nawet 30 000 dolarów, ponieważ dostęp do serwerów GitHub otwierał jeszcze szersze możliwości wykorzystania luk.

Niedawno odkryłem lukę w zabezpieczeniach na stronie internetowej firmy Dyson i powiadomiłem o niej firmę. Jednak po otrzymaniu odpowiedzi dowiedziałem się, że moje odkrycie zostało już zarejestrowane, a jego status rozwiązania to „zamknięte”. Ponownie zbadałem lukę i udało mi się ją odtworzyć, co budzi wątpliwości co do działań firmy: albo luka nigdy nie została naprawiona, albo odmówiono mi nagrody. Sytuacje takie jak ta podkreślają wagę odpowiedzialnego podejścia do bezpieczeństwa sieci i potrzebę efektywnej współpracy między badaczami a firmami.

Przez cztery miesiące starałem się udowodnić swoją rację w konflikcie z firmą i skontaktowałem się z pomocą techniczną HackerOne. Niestety, platforma stanęła po stronie Dysona, a wynik sporu okazał się dla niej korzystny.