HAXTA4OK получил доступ к багбаунти площадке HackerOne

Наш супермодератор HAXTA4OK получил мировое признание .

Ниже немного официоза по описанию событий:

Компания HackerOne, управляющая одноименной платформой по координации программ вознаграждения за найденные уязвимости различных компаний, была вынуждена выплатить из собственного кармана вознаграждение в $20 тыс. после того, как случайно предоставила стороннему исследователю возможность читать и вносить изменения в отчеты об уязвимостях некоторых ее клиентов.

Причиной утечки стала неосторожность одного из аналитиков HackerOne, который в переписке с одним из участников сообщества платформы, использующим псевдоним haxta4ok00, случайно передал в составе команды cURL действительный сессионный cookie-файл, позволявший любому читать и частично изменять данные.

Haxta4ok00 проинформировал HackerOne о проблеме, спустя два часа компания отозвала сессионный cookie и начала выяснять причины произошедшего. В официальном сообщении компания отметила, что утечка ограничена только информацией, к которой имел доступ ее специалист, однако не уточнила, о каком объеме данных идет речь или сколько клиентов мог затронуть инцидент.

Тем не менее, судя по переписке с haxta4ok00, ситуация могла оказаться довольно серьезной, поскольку утечка предоставляла стороннему лицу другие потенциальные возможности, в том числе выплачивать вознаграждения за уязвимости, изменять условия программы, добавлять пользователей и пр. В свою очередь haxta4ok00 заверил, что воспользовался доступом только для чтения и не вносил никаких изменений. Слова исследователя подтвердил глава службы безопасности HackerOne Рид Лоден (Reed Loden). Haxta4ok00 также подчеркнул, что удалил все скриншоты, логи прокси, историю браузера и другие данные, полученные в результате неавторизованного доступа.

Лоден не уточнил количество пострадавших клиентов, но отметил, что утечка затронула менее 5% программ.

Источник: https://www.securitylab.ru/news/503120.php

 

А Свинтус то молодец
Поздравлямс!

 

Стоит так же упомянуть, что он 3 года назад отправлял им репорт, с намёком на небезопасное управление сессиями, который они проигнорировали.
Могли отделаться пятьюстами долларов, а отдали 20к и получили урон по репутации. Как говорится - "Знай наших!".

Грац @HAXTA4OK

 

Браво, HAXTA4OK!

[Пацаны вообще ребята!] За@бись, чётко! Умеете, могёте!

 

@HAXTA4OK , 20-ка за чтение 0day всех компаний ? бро, я бы тебе больше накинул

 

@HAXTA4OK , эй ты, свинтус. Иди к нам, отпишись, будем тебе репу гладить.

 

Круто-круто!
Congratulations!

 

Красавчик!

 

ах ты свин пыхтачок уважаю и ценю!

действительно это уже мировая новость, красава!

 

Чётко чичётко!
Хочу быть таким как он
p.s умным

 

умными не бывают) умными рождаются (с)

 

Везение же)

 

Молится не тем богам, что мы

 

ждём его ответа. полюбому было не так

p/s ребз- как дела у Жириновского?

 

Вот тебе кавычки, братан: '''''''''
Используй их с умом.

 

Нихуя ты Йода.

Ковычки эти - с умом используй ты.

 

тут вот не прав ты будешь, умными становятся новое позновая (с) Йода