Миллиган, разлогинься! • #Кибсек #Маркетплейсы #СНГ • В конце ноября одним из пользователей маркетплейса OMG была обнаружена уязвимость в системе безопасности. Bug Hunter связался с администрацией, чтобы получить вознаграждение, но к договорённости по сумме прийти не удалось. Внезапно он вышел на связь Telegram и вовсе отказался от вознаграждения. Мы попытались во всём разобраться и понять, где правда. Как мы узнали об этой истории? Пару недель назад с нашей редакцией связался некий Арсений и заявил, что он нашёл уязвимость в системе безопасности маркетплейса OMG. Она заключалась в том, что, имея логин и пароль, можно было без проблем пройти защиту 2ФА. Чтобы верифицировать себя, Арсений выслал видео, на котором, собственно, и была запечатлена ошибка, а также скриншоты переписок с командой модерации маркетплейса, на которых представителю площадки не удалось договориться с ним о так называемом вознаграждении по программе баг-баунти. Переписка прекратилась сама собой, со стороны OMG перестали приходить ответы. По заверениям администрации, причиной окончания чата послужил технический сбой, и они всё ещё готовы обсудить все вопросы в Telegram. Тогда-то мы и создали чат, связав представителя OMG с Арсением. Спойлер — договориться сторонам не удалось, поскольку Арсений рассчитывал на более высокое вознаграждение. В ходе завязавшегося словесного поединка Хроносом был предложен беспристрастный арбитраж с привлечением сторонних специалистов. Идея была отвергнута администрацией маркетплейса, сам же Арсений от такой «несерьёзной» суммы отказался. А между тем сообщения от Alex в форму обратной связи операторам площадки были весьма агрессивными. Там содержались не очень связные размышления о несправедливости сложившейся ситуации и даже угрозы. Тогда администратором площадки был задан справедливый вопрос — зачем он тогда разыгрывает эту комедию, раз уж в Telegram он добровольно отказался от вознаграждения? Ответ поставил всех в ступор — Alex заявил, что аккаунт с ником Aрсений не имеет к нему никакого отношения. И тут начинается самое интересное. Ведь это именно Арсений предоставил нам скриншоты переписки маркетплейса с Alex. А также он предоставил ролик с демонстрацией уязвимости. Между тем администрация связалась и с Alex, который, конечно же, заявил, что ни с кем в Telegram он не связывался и не намерен, заявив, что всё должно происходить в рамках площадки. От вознаграждения он, разумеется, не отказывался. Арсений же перестал отвечать, видимо, поняв, что его раскрыли. Так что же получается? Разумеется, сначала возникло предположение, что Alex и Арсений — это один и тот же человек и таков его способ давления на администрацию площадки. Но потом, при более подробном анализе вопроса, мы пришли к любопытному выводу. А вывод таков, что это два разных человека. Вопрос: откуда же тогда у него видео и скриншоты переписки? Мы предполагаем, что Alex мог просто поделиться с кем-то своей историей, а предприимчивый собеседник решил этим воспользоваться. Таковым мы и сочли Арсения. Только в таком случае неизвестно, почему от средств он все-таки отказался. В этой истории остаётся очень много вопросов, ответы на которые мы, кажется, не найдём никогда, но факт остаётся фактом — счастье любит тишину и такие «находки», разумеется, лучше хранить при себе до получения денег. А то может статься, что ваши деньги заберёт кто-то другой. На правах рекламы: 1. BlackSprut — дарит подарки на 5 000 000 рублей! 2. BTC MONOPOLY — закупись BTC перед праздниками и выиграй приз @chronos_today | Зарабатывай на новостях