Яндекс.Метрика

    Язолъ

    ПриватБанк и их акция по поиску уязвимостей

    Некоторое время назад, а точнее сразу после нового года, я наткнулся на заманчивое предложение от ПриватБанка за поиск уязвимостей, которое гласило, что за поиск уязвимости есть шанс получить до 10 000 грн (пр. 1250уе)
    Потыкался… ничего не нашел и забил на это дело.

    Но через время, удалось обнаружить уязвимость типа ХСС, благодаря которой, можно было украсть данные кредитки, cvv2, exp. Все данные в общем.
    я дал для теста другу ссылку, попросил вбить левые данные, он вбил и данные у меня появились.
    На лицо уязвимость, благодаря которой можно было делать плохие вещи, имея на руках данные кредитки. То есть спамерам не составит труда собрать базу данных, учитывая то, что домен приватбанка, да еще и под https.

    Вначале, после отсылки ошибки пообещали 5.000 грн (625уе), радости небыло предела. Продолжил поиски на сервисе и вскоре нашел еще одну ХСС. Снова отослал.

    и все… тишина… переписка была, но, как мне объяснили все дело в бюрократии. Из-за нее ошибки исправляли неделями.
    Но какого было мое удивление, когда за 2 отосланные уязвимости (пусть и ХСС, но благодаря которым можно было красть данные) скорректировали сумму до 3.000 грн ( 375 уе )

    Много ли это или мало. В целом — неплохо. За полчаса — час поиска — неплохо.
    Буду ли я дальше искать? Пожалуй нет.