Честно скажу, загрузил я его ради праздного любопытства, так как слушать музыку Вконтакте удобнее, а самое главное — бесплатно. Дело было вечером, делать было нечего, и я решил потыкаться в новое приложение. Визуальное исполнение приятно удивило: все в лучших традициях крупнейших IT корпораций.
«В чем же заключается сам баг», — спросите вы. А я отвечу: в версии на Windows Phone можно слушать любую песню любого исполнителя абсолютно бесплатно, в обход подписки. Алгоритм действий, на самом деле, очень прост:
1. Заходим в приложение и включаем любую бесплатную подборку музыки.
2. Открываем поиск и ищем любую песню любого исполнителя.
3. Нажимаем на нее, появляется окно с требованием о необходимости подписки, нажимаем «отмена».
4. Жмем клавишу громкости, появляется окно с названием играющего трека и кнопками «вперед\назад\пауза».
5. Нажимаем «вперед» или «назад».
В итоге, включается песня следующая или предыдущая от той, на которой появилось окно о подписке. И далее, нажимая клавиши «вперед\назад», можно перемещаться по «подписочному» плейлисту совершенно бесплатно.
Я отправил эту информацию в Яндекс (версия 1.0). Практически через день вышла новая версия, в которой на данный момент (версия 1.10) эта уязвимость не была исправлена. В качестве награды мне предложили всего месяц бесплатной подписки на сервис, которой я успешно не захотел воспользоваться.
UPD:: На данный момент уязвимость исправлена.
Комментарии (27)
grigor7
10.04.2015 19:53+19Щедрый Яндекс, что сказать.
mwizard
10.04.2015 21:00-39А могли и в суд подать за причинение ущерба в объеме недополученной прибыли от прослушивания вообще всей медиатеки Яндекс.Музыки! Так что автор радоваться должен, на коленках ползать и сапоги добрым директорам целовать.
Хотя не факт, что в будущем не подадут, может пока только подсчитывают общие олимпиарды.grigor7
11.04.2015 15:34+2Не думаю, что при таком процессе можно было бы получить достойное возмещение убытков, да и убытков-то почти нет.
mwizard
11.04.2015 15:38+3Это был сарказм — очевидный, как мне казалось. По мотивам реальных случаев того, как банки при рапорте об ошибках вместо того, чтобы поблагодарить и исправить ошибки, пытались привлечь багрепортера к ответственности за «вмешательство в работу удаленных ЭВМ», «хищение банковских данных» и тому подобные вещи. А ведь просто хотелось сделать доброе дело, понимаешь? Ну чтобы не стукали.
ivan386
10.04.2015 22:22+6У них же на сайте прослушивание бесплатное. Чего это оно в приложении платное?
vsb
11.04.2015 10:33+3Деньги зарабатывают :) Музыка-то не бесплатная, кто бы что не утверждал. За каждый прослушанный бесплатный трек яндекс платит правообладателю копеечку.
Вообще интересно — есть ли у этой музыки самоокупаемость, или же это убыточный имиджевый проект.
sainnr
11.04.2015 22:28При прослушивании на сайте, пользователю активно показывается реклама. При переходе в «Рекомендации», встречается форсинг некоторых альбомов, концертов и исполнителей, что также наверняка не бесплатно.
stan_jeremy
10.04.2015 21:30+1А вот тут написано yandex.ru/bugbounty что должны были заплатить 17000 руб.
Mikado
10.04.2015 21:51+2Не совсем так. Награда обещана только за «Уязвимости — технические недостатки, с помощью которых можно нарушить целостность или конфиденциальность пользовательской информации, а также изменить права доступа к ней.»
Музыка же не является пользовательской информацией.stan_jeremy
10.04.2015 22:10+6Смешно, если считать что за 90% багов из баунти платят не оглядываясь на это правило.
maximw
11.04.2015 10:16+1Можно сказать, что наличие/отсутствие подписки является пользовательской информацией, т.к. это касается каждого отдельного пользвателя индивидуально.
И ингорирование в ходе использования приложения этой информации можно назвать изменением права доступа к ней. Т.е. в обычном режиме это обязательное использование информации о подписке. В режиме бага — получение права не использовать эту информацию.
Тут уж как придраться к буквам.
BupycNet
12.04.2015 20:58+1Ну так, прав доступа к музыке не было? Не было. А он получал доступ к тому, к чему у него нет прав доступа.
AkpoFlash
10.04.2015 22:23+13Открывая пост, в первую очередь интересно было узнать о награде от Яндекса. Честно даже смешно, месяц бесплатной подписки, лучше бы ничего не предлагали.
Ambassadorik
10.04.2015 23:23+12Как мне кажется, если человек был первым кто зарепортил баг, то единственное достойное неденежное вознаграждение это пожизненная бесплатная подписка.
Mikado
10.04.2015 23:26+3Если уж на то пошло, то в Android-приложении тоже есть возможность слушать песни любимого исполнителя без подписки.
Для этого можно воспользоваться функцией «Радио». В бесплатной версии количество пропусков треков ограничено пятью за сутки, но это ограничение можно обойти. Для этого достаточно включить радио нужного исполнителя, а для перехода к другому треку включить радио заново — в результате будет выбран новый случайный трек этого же исполнителя. Может, это и не баг, а фича, конечно, но все равно удобно.
MaximChistov
Где-то я уже читал такой же пост, 1 в 1…
One_Touch
Судя по кешу гугла, это тот же пост от Dec 24, 2014 из sandbox
habrahabr.ru/sandbox/90435