- *.vk.com
- login.vk.com
- *.vk.me
- *.vk-cdn.net
- *.vkmessenger.com
- *.vkontakte.ru
- *.vk.cc
- Официальные мобильные приложения VK
О каждой найденной уязвимости можно сообщить, используя платформу HackerOne.
Минимальная награда за найденную брешь составляет 100$. При этом необходимо быть внимательным — эксплуатация обнаруженной уязвимости против пользователей социальной сети может привести к полному отказу от выплаты награды за нее.
Комментарии (14)
ntfs1984
30.05.2015 13:27эксплуатация обнаруженной уязвимости против пользователей социальной сети может привести к полному отказу от выплаты награды за нее.
А вот эта уязвимость в формулировке, позволит не выплачивать 100 баксов при большом (не)желании :)
Стесняюсь спросить, а где еще можно эксплуатировать уязвимость соцсети, как ни на ее ЦА — пользователях?
Типа «Мы рады, что вы обнаружили уязвимость, позволяющую комментировать закрытые фото, но вы прокомментировали закрытое фото пользователя vasya_pupkin, поэтому мы не можем вам выплатить компенсацию, но сердечно благодарим за репорт».
sferrka
30.05.2015 14:29-1Ну никто не мешает прокомментировать свое закрытое фото или друга/бота.
ntfs1984
30.05.2015 15:26+1Вы наверное слабо понимаете, что такое «обнаруженная уязвимость»?
Зашел с древнего компа через IE старой версии на страницу бывшей, захотел прокомментировать фото, прокомментировал. Оказалось что это уязвимость, ибо фото закрыто, но IE проигнорировал новые скрипты, и с этим не согласился.
Или зашел в друзья своего друга, не то что-то нажал или ввел, и его список друзей удалился. И при чем здесь мои друзья, если я хочу поработать с ЕГО друзьями ?)
И таких примеров сотни.sferrka
30.05.2015 16:00-3В любой формулировке, делать выплаты или нет, и в каком объеме — решать ВКонтакте. Очевидно, что случайное обнаружение не будет считаться эксплуатацией уязвимостей. Другое дело, если вы, обнаружив уязвимость, решите «проверить» ее еще на сотне-другой «живых» пользователей.
ntfs1984
30.05.2015 16:25Именно. Решать им.
И вовсе не очевидно, именно из-за предыдущей строчки. История знает немало прецендентов, когда «очевидные» уязвимые вообще подавали в суд на нашедшего уязвимость.
Longer
31.05.2015 12:02+1Интересно, какая уязвимость будет стоить всего $100? Я такие уязвимости слабо представляю.
Или они к уязвимостям и простые баги причисляют?
Filippok
Награды голосами будут выплачивать?(http://habrahabr.ru/post/257951/)
gospodinmir Автор
Судя по HackerOne: «Выплаты производятся только через сервис HackerOne.» Так, что речь вряд ли о «голосах».
Beltoev
Задался таким же вопросом при прочтении заголовка ))
b3nd3r
Написано ведь от 100 долларов. Где речь идет о голосах? И в том топике автору разрешили вывести деньги. В чем еще проблема?
Beltoev
Вы в том посте до комментариев не дошли?
Они выплатили голосами (аля фантиками) 10 000 голосов (в скобках еще уточнение, что это 70 000 рублей). Чтобы их вывести, на время одобрили автору какое-то приложение, чтобы вообще был доступен вывод. И я сильно подозреваю, что выводили по стандартному курсу (3.5 рубля за голос), что не очень-то и радует.
А теперь вопрос: зачем такие танцы с бубном, когда можно было напрямую вывести эти деньги?
b3nd3r
Дочитал. В тех же комментариях вполне верно предположили, что такие танцы с бубном провернуть проще, чем выплатить сумму через бухгалтерию. На данный момент программа запущена официально и наверняка такие вопросы решены. А то вариант, который предложили автору, был наиболее простым именно в то время, когда не было программы.
Beltoev
В том-то и дело, что проще провернуть им, а не нашедшему уязвимость специалисту.
Отсюда и сарказм самого первого комментария, который почему-то некоторые минусуют (видимо, не уловили глубину насмешки от Filippok)