Предисловие
Сегодня я бы хотел рассказать о моем самом недооцененном кейсе за почти 5 лет работы. За это время мне удалось поработать со многими гигантами IT-рынка, которые платили достойные вознаграждения.
Однако случай, о котором пойдет речь, оставил после себя крайне неприятный осадок. Несмотря на то, что найденная мной уязвимость имела критический характер и могла привести к серьёзным финансовым последствиям для компании, её оценили в совершенно несоответствующую реальной угрозе сумму.
Именно поэтому я решил рассказать эту историю подробно, чтобы подчеркнуть важность адекватного отношения компаний к вопросам информационной безопасности и справедливой оценки труда специалистов.
Как я искал иголку в стоге сена и нашёл банковский сейф
Итак, одним вечером мне пришло в голову проверить компанию, которая почему-то раньше не попадалась мне на глаза, вернее, я не рассматривал ее с точки зрения потенциально уязвимого продукта. Очевидно, речь идет о сервисе "Суточно.ру".
С чего же я начал? Ответ прост - все началось, как обычно, - проверки классических XSS, CSRF и прочих уязвимостей на стороне клиента. Однако эти попытки не дали результатов, и я решил сместить фокус в сторону проверки бизнес-логики сервиса, а именно — механизма пополнения баланса. Решив перебрать параметр payment_method я обнаружил очень странное поведение - сервис отдавал ссылку на тестовый мерчант:
"Бинго!" - подумал я. Перейдя по ссылке, я нажал на кнопку "Оплатить" и баланс пополнился на 100 рублей. Денежные средства сразу отобразились на балансе:
«Ваш звонок очень важен для нас»: как Суточно.ру морозили меня после обнаружения критикала
Критическая уязвимость найдена, а значит, самое время связаться с компанией. Я немедленно написал в поддержку Суточно.ру, ожидая адекватную и оперативную реакцию на столь серьёзный баг. Однако реальность оказалась далека от ожиданий:
Как видно из скриншота первое сообщение поддержка проигнорировала — оно было прочитано почти сразу, но ответа не последовало. Лишь после повторного обращения мне всё же ответили. Позже со мной связался сотрудник отдела информационной безопасности по имени Роман, заверивший, что вознаграждение будет "честным":
После этого сообщения я сразу передал техническую информацию по уязвимости. Чуть позже мне написали, что изучат проблему и вернуться с ответом. К слову, ответ в тот вечер я получил лишь поздно вечером:
Проснувшись следующим утром, я сразу взял телефон, ожидая там увидеть уведомление из телеграмма. Думаю, вы уже догадались — там было пусто. Только после трех сообщений, которые я отправлял в течение дня мне удосужились ответить:
После этого сообщения я испытал сильное разочарование, осознав, что предложенная сумма больше похожа на издевательство и, разумеется, речь вовсе не шла о вознаграждении в долларах. Безусловно, 25000 рублей за уязвимость с такими возможностями - просто плевок в лицо. Можно представить множество ситуаций, в которых Суточно.ру юридически обязано было бы компенсировать огромные суммы пользователям. Компания в случае эксплуатации потерпела бы потери гораздо серьезнее, чем такое "вознаграждение". В процессе исследования я обнаружил ещё несколько проблем безопасности, но после всей этой истории желание работать с Суточно.ру окончательно исчезло.
Само сотрудничество с компанией оставило крайне неприятные впечатления — постоянный игнор и отсутствие адекватного диалога заставляют задуматься: если Суточно.ру настолько небрежно относятся к безопасности, могут ли они вообще гарантировать защиту данных и средств своих клиентов?
Комментарии (13)
CBET_TbMbI
06.08.2025 09:22По-моему, от сравнительно мелких локальных компаний многого ждать и не приходится.
MrZorg
06.08.2025 09:22У них денег хватает на рекламу в аэропорту, причем не по две минуты, а часами висит. Вот например цена для Внуково: за размещение ролика 10 секунд в 5 минутном блоке на 30 дней составляет 400000 руб. . Так что тут приоритеты компании на минимизацию затрат на любую поддержку и отношению к качеству, а не про невозможность заплатить. А вот автору респект, за попытку человеческой коммуникации.
Shaman_RSHU
06.08.2025 09:22Реклама приносит доход. А уязвимость могут другие не обнаружить.
Если в компании нет плана по недопустимым событиям, то ничего с этим не сделаешь. Пока в компании зрелость ИБ на зачаточном уровне, но значимый инцидент это может быстро исправить. Тогда на ИБ и бюджет найдется, и ФОТ.
atd
06.08.2025 09:22После этого сообщения я испытал сильное разочарование,
А могли бы в полицию стукануть, или по судам затаскать, так что ещё хорошо всё закончилось %))
BadDancer
06.08.2025 09:22Если это Ваша работа - то надо предварительно заключать договор. Без договора искать уязвимости - можно и под суд попасть. Если это Ваше хобби - тут можно бы и порадоваться, вместо разочарования - не только денег не потратил, но даже и наоборот, 300 баксов есть 300 баксов :-)
valera_efremov
06.08.2025 09:22Автор мог бы на черном рынке пополнять баланс пользователей. Или продать уязвимость в десятки или даже сотни раз дороже, так как в уязвимости прямая монетизация. В итоге компания понесла бы потери в сотни миллионов.
Но автор молодец, что довольствуется 25 тыс рублей :)
Shaman_RSHU
06.08.2025 09:22На самом деле таких историй много, в том числе и в отношении крупных компаний. Просто не все пишут статьи :)
valera_efremov
06.08.2025 09:22Кажется, сотрудник компании выложил 25 тысяч из своего кармана, чтобы инцидент не дошел до руководства и не получить по шапке. Но где то просчитался, как и с багом. В итоге статья на хабре
rananyev
06.08.2025 09:22Хз кто так делает, но все подобные штуки у нас в Jira и проводится через CIO с последующим обучением сотрудников "что произошло, почему, и как избежать такого в будущем" :)
anzay911
Вроде написано то, что написано.
rananyev
Да, все так, как я и говорил в личной переписке -- программы Bug Bounty у нас нет, а как появится -- мы не будем забывать и тех, кто уже присылал отчеты.
max9
более того, выбить что-то из бюджета, который не заложен - там вобще чудо сделали.