Comments 70
This publication could cause conflicting feelings. Be critical of any posted information. Remember the Community Guidelines before posting your comment.
How to write and what to do?
- Don`t write offensive comments or get personal.
- Refrain from obscene language and toxic behavior, even in a veiled form.
- o report comments that violate the rules of the site, click the "Complain" button or fill out the feedback form.
What to do if: karma goes down, the account is blocked.
Может кто-то объяснить, а за что украинских багхантеров заблокировали?
Не выразили явно свою позицию, по ситуации в родной стране.
Как сказал их CTO, они заблокировали всех украинских, чтобы определить, кто из них из Донецка, Луганска и Крыма, а потом разблокировать всех остальных.
Надо ставить вопрос иначе - почему вообще белых хакеров кто-то блокирует? Это как минимум подрывает доверие к платформе и как максимум способствует утечкам эксплоитов в сеть.
В мире багбаунти-программ важную роль играет доверие между всеми участниками процесса. То, что сделал H1, являясь по сути мировым локомотивом этого движения, никак этому принципу не соответствует.
Не лишним будет напомнить, если вы хотите иметь прямую связь с багхантером - разместите в корень сайта файл /security.txt с информацией о связи с командой, как это сделано на mos.ru или gosuslugi.ru.
Вот тут про формат security.txt чуть подробнее https://habr.com/ru/post/456910
В мире багбаунти-программ важную роль играет доверие между всеми участниками процесса.
Я уже даже не знаю осталось хоть что-то к чему не подорвано доверие. Похоже, действительно пора "готовиться к земле", как сказал один классик)))
Любые наказания не за конкретные нарушения поведения пользователя на любой площадке подрывают доверие к этой площадке.
В нормальной ситуации законность наказаний должна иметь приоритет над политической "справедливостью".
Даже в реальной жизни настоящая справедливость иногда проигрывает настоящей законности - например, в случаях, когда не удаётся доказать вину реального преступника.
И это правильно, потому что законность только такой и может быть - обоснованной.
Кинули багхантеров на тонны баксов... смелые ребята... и очень самоуверенные...
А они не боятся, что озлевшие хакеры взломают теперь уже их собственный сайт и заберут вообще все деньги? :)
Кстати на прямые вопросы в твиттере их СЕО не отвечает. Одно дело не работать с санкционными банками, другое дело с резидентами РФ. Позицию надо бы озвучить. Насколько я знаю, не резиденты граждане РФ/РБ проблем не испытывают. Кроме H1 также забанили SynAck (точно) и Bugcrowd (вроде). Есть площадки, которые продолжают работать. Но именно H1 зашкварилось благотворительностью за чужой счет.
Мир больше не будет прежним ))) Надеюсь компании которые идут на поводу у своих политизированных СЕО обанкротятся. А те кто ставят во главу угла качество увеличат прибыль. Да, это уже сейчас происходит. Телеграм не вводит политической цензуры он бьет рекорды чего нельзя сказать о ФБ например.
Давайте посмотрим в прошлое. В 1937 год.
Поставьте себя на место СЕО крупной компании, например IBM или Coca-cola и попробуйте оценить репутационные риски для компании от сотрудничества с нацисткой Германией.
С учётом послезнания --- идея сотрудничества с наци быть вне политики --- выглядит как чудовищная ошибка. Задача грамотного СЕО --- избегать подобного, не так ли?
Адидас и Пума сотрудничали, причем выполняли заказы правительства
Адидас - внутрення немецкая фирма на то время.
А вот Пума как фирма не сотрудничала - её до 1948 года вообще не было.
И Хуго Босс, и Порше, и Сименс, и Сваровски, и Цейсс, и Лейка, и БМВ, и Мерседес, и Бош, и Ауди (Auto Union), и многие другие, короче все немецкие фирмы, которые на тот момент были.
Не спрашивайте мужчину о зарплате, женщину- о возрасте, а немецкую фирму- о том, что она делала в период с 1933 по 1945 годы.
В Вашем списке, кстати, не хватает Форда, ДжПиМоргана, Тиссен, Кока-Колы, Дженерал Моторс, Стандарт Ойл, Пратт и Уитни, Дуглас, Бендикс Авиэйшн и многих других крупных фирм, которые на тот момент были. хотя это и не немецкие фирмы :-). Но капитал, да хотя бы при при 10% прибыли- согласен на всякое применение.
Но капитал, да хотя бы при при 10% прибыли- согласен на всякое применение.
Очень недальновидный капитал. Капитал поумнее, как мы видим, шарахается как черт от ладана.
Давайте не будем забывать, что стратегия "жить здесь и сейчас" --- не стандарт по умолчанию. Многие СЕО планируют развитие компании на годы вперед.
Очень недальновидный капитал.
И в чём конкретно это выражается? Эти фирмы разорились киз-за своих решений? Или может всё-таки заоборот заработали?
Сначала немного заработали. А потом понесли имиджевые убытки, которые многократно превысили кратковременную прибыль от сотрудничества.
А вот на эти цифры я бы хотел посмотреть. Сколько конкретно заработали и как конкретно выглядели убытки.
Как выглядели убытки: Потребность Германии в технологиях учета и классификации была настолько велика, что в стране была основана своя технологическая компания, которую профинансировала IBM.
Но сотрудничество с нацистами не принесло ожидаемых прибылей --- 1939 году IBM потеряла связь со своим немецким подразделением Dehomag, а потом оно и вовсе прекратило существование.
А IBM осталось подпорченной репутацией. На протяжении всего послевоенного времени ни для кого не было секретом, что нацисты работали с перфокартами IBM. Это привело к нескольким международным судам.
В знак того, что компания разделяет скорбь о жертвах нацистов IBM даже пожертвовала $3 млн. в немецкий фонд жертв Второй Мировой войны.
Подпорченная репутация это такое дело… Особенно учитывая что с немцами до определённого момента работала куча компаний и даже сотрудничали целые государства.
Тот же Форд если я всё правильно помню имел от сотрудничества с Германией чуть ли не десять миллионов в год. General Motors тоже примерно в этом размере. Американские нефтяные компании там вообще озолотились.
Очень недальновидный капитал. Капитал поумнее, как мы видим, шарахается как черт от ладана.
Как-то вы рано выводы делаете, вам не кажется? Многие "очень недальновидные" компании существуют и по сей день (и весьма успешно). А вот как долго просуществует капитал "поумнее" будет видно лет через 50.
Репутационные потери от подобных действий гораздо серьезнее, чем от попытки остаться вне политики. По сути они продемонстрировали, что не являются надежными партнерами, т.к. могут в любой момент по велению своей пятки не только расторгнуть договор, но и украсть ваши деньги. Даже если вы никак не причастны к известным событиям.
В Вашем списке, кстати, не хватает Форда, ДжПиМоргана, Тиссен, Кока-Колы, Дженерал Моторс, Стандарт Ойл, Пратт и Уитни, Дуглас, Бендикс Авиэйшн и многих других крупных фирм, которые на тот момент были. хотя это и не немецкие фирмы :-). Но капитал, да хотя бы при при 10% прибыли- согласен на всякое применение.
А в Вашем не хватает Кодак. И поставлял он немцам совсем не фотопластины, а кое-что другое.
Прямое следствие cancel-культуры – преследование за "неодобряемое", а не по закону
Сейчас появилось много кидалова от компаний, которые размещают баг баунти программы прям на своих сайтах. Я не знаю почему так, но я потерял связь со всеми иностранными компаниями, даже с которыми я уже успешно сотрудничал, даже которые должны были мне перевести деньги.
Мне кажется, что компании должны понимать опасность таких вот манипуляций по отношению к пентестерам, ведь они могут выложить эксплоиты просто в твиттер и ничего с этим не поделаешь.
Я не хочу становиться плохим, но меня вынуждают, и с каждым новым кидаловом держать себя в руках становится все тяжелее.
Это как и с играми, софтом и кино. Мне не составляло бы труда их качать, но я сознательно оплачивал, чтобы поддерживать создателей. Теперь же они плюют на мою добрую волю.
Белые хакеры ещё и теряли дополнительные деньги по своей воле, ведь в Даркнете платят больше, да?
Ну простой пример. Я тестировал американский сайт для предвыборных кампаний и мог стянуть всю бд с личными данных представителей (а может и не только представителей) кандидатов в президенты. Но вместо этого честно отправлял отчеты об ошибках. Никогда не было желания украсть данные, так как в моем понимании пентестеры должны помогать защищать пользователей и больше ничего.
Когда я вижу, что целые хакерские сайты формируют армии хакеров для взлома российской инфраструктуры (тупой кражи данных), мне становится очень грустно. Считаю, что ИБ сфера должна быть аполитичной.
Ремарка: хакерские сайты в моем понимании это hackerone, bugcrowd, synack, yeswehack, intigriti и тому подобные.
Я тестировал американский сайт для предвыборных кампаний и мог стянуть всю бд с личными данных представителей (а может и не только представителей) кандидатов в президенты.
Ого, Рашн Хакерс — это не миф! Вы уже под санкциями США, раз так легко про это говорите?
Mickos tweeted: “I misspoke. We reroute hacker rewards to donations only on specific instruction by the hacker."
HackerOne backtracked on this statement, telling The Daily Swig that it is holding all reward payments for users in sanctioned regions.
Одумались слегка, если я правильно понял, то деньги просто заблокировали, на благотворительность они не уйдут, но и снять их не получится, пока работают санкции.
@LukaSafonov, добавьте в этот пост апдейт
Так, ребят, я тут проверил инфу собственными руками. H1 не перечисляет деньги ни в какие фонды, просто замораживает выплаты.
Вот все разъяснения от H1: https://www.hackerone.com/sanctions-faq
Конкретная цитата с пояснениями: We are not automatically donating any bounty payments to UNICEF or any other charity. We can through our normal process donate hackers’ rewards to charity but only on their express instruction. We apologize that we made an error in our original communication. We have changed our default Hack for Good charity to UNICEF and encourage donations of rewards (or portions of rewards) as one way of helping relief efforts.
Лука, заг -- огонь!
Про файл security.txt не знал, интересно
Охота за ошибками была ошибочной