586

Как я компании хотел помочь

Данный пост написан скорее с целью предостережения и ещё раз подтверждает мнение, что российские компании (а именно - руководство) и благодарность за найденные уязвимости в их продуктах - это несовместимые вещи.

Скажу сразу, я не выставляю каких-либо обвинений компании, т.к. никаких официальных договоров не было и я всё равно получил бесценный опыт в области поиска уязвимостей. Однако, если бы всё было так просто, то этого поста не было бы.

Предисловие

Долгое время в СНГ-сегменте сбора пожертвований успешно существовал только монополист в виде площадки DonationAlerts, причём так успешно, что площадку заметил и выкупил майлру и теперь каждому посетителю устанавливается браузер амиго и теперь составить конкуренцию в этой области стало ещё сложнее (а попыток было много). Качество услуг не очень хорошее, проценты за пользование площадкой довольно большие...
И вот, год назад, одна компания смогла прорваться и отвоевать свою долю рынка завлекая большим функционалом и реально выгодными условиями.
Вот о ней и будет вестись речь в данном посте.
Лично меня привлек сам проект в принципе, являясь активным пользователем площадок типо твича это был очень хороший вариант, имеющиеся партнёрская программа была приятным бонусом.

И понеслась

Возникла надобность автоматически выводить некоторые статистические данные и я полез изучать предоставленное разработчиками API. В результате чего была найдена уязвимость, позволяющая получить полный доступ к аккаунту пользователя (т.е. вообще полный - выводи деньги, меняй платёжные данные, ect.) через это самое апи (возможностями апи это никак не предусмотрено). О чём я сразу же сообщил в саппорт. Саппорт отреагировал быстро и в течение ночи всё было исправлено. И в этом случае даже снижение комиссии дали!

правда не обошлось без напоминаний

Данный вариант меня устроил и я пошёл дальше работать с площадкой, а имеющийся опыт из участия в программе тестирования вконтакте и других платформ помог обнаружить ещё множества мелких и не очень багов, о которых бескорыстно сообщал уже напрямую в лс сотрудникам (это важно) во благо развития площадки.
Всё так и продолжалось до одного момента.
В один момент была обнаружена серьёзная уязвимость, позволяющая выводить средства в двойном, а то и тройном объёме от имеющихся. Перед её отправкой я поинтересовался можно ли рассчитывать на денежное вознаграждение за такую серьёзную уязвимость, получив положительный ответ, я предворительно оценил, ориентируясь на другие платформы, в 500$. Сотрудник Алексей сообщил что это довольно много, но какое-то вознаграждение точно будет. И данный вопрос был отправлен на рассмотрение.
2 января:

Дальше пошли дни ожидания, я специально уточнил, не было ли отрицательного ответа. Я вполне понимал что у шефа может быть другое мнение, нежели у его сотрудников.
4 января:

В процессе ожидания я сдал ещё парочку уязвимостей возникших после обновления (9 января) и их быстро поправили. Однако не полностью..  и я сообщил что уязвимости ещё есть, но не стал вникать в суть, предоставив работу программистам, мне не нравилось, что по их же обещанию не слышно вообще ничего, как будто его и не было.
11 января я решить просто уточнить, возможно ли повышение процентов с партнёрки. Это мелочи, около 500-1000 в месяц.
За это они зацепились, спустя пару часов (видимо, посовещавшись с шефом) я получил такой ответ.

Честно сказав, что раз вы игнорируете мой вопрос, то и я пока данный вариант отклоню - будем ждать официальный ответ.
После этого мне напомнили что никаких договорённостей не заключали, но и я напомнил что ничего не подписывал, а данная ситуация обусловлена не желанием денег, а их наплевательским отношением.

Поняв, что дело в шефе и его желании выжать побольше выгоды практически ничего не отдавая взамен (или хотя бы в честном ответе, что с обещанием ошиблись - там придумать что фин. ситуация тяжёлая и выплат не будет), решил написать в саппорт их головной компании, с надеждой что там люди адекватнее, может там мне что-то разъяснят. Ответ я получил уже спустя 4 дня и ничего нового мне не сказали.

А перед этим при выводе я заметил что средства пришли мне опять же в двойном объеме - о чём всё-таки сразу сообщил в лс Алексею. Поэксперементировав (нужно было просто стараться нажимать как можно чаще на кнопку вывода(это какими криворукими программистами надо быть)), я вывел ещё пару раз, получив лишними около 600р.

А далее события развивались странно, не прошло и половины дня, шеф вдруг появился

и выдвинул претензию - я вывел лишние средства и таки ответил - никаких вознаграждений из-за этого не будет. А в добавок ещё и скидку у вас забираю (см. начало поста). И вообще, уходите.


Я уточнил, почему такие жесткие претензии, ведь и ранее в процессе поиска уязвимости я получал мелкие суммы пару раз и к ним никаких претензий не предъявлялось - я бы вернул без вопросов.
После этого, кстати, списали и те самые старые выводы, а комментировать ситуацию начали обычные сотрудники по шаблонам - шеф пропал опять.

Итого, что мы имеем: пару месяцев сотрудничества, десятки мелких и средних, пару критических уязвимостей, но в итоге неисполненные обещания и отзыв прошлых бонусов.
Да, никаких договоров не было, я сам виноват, поэтому я не имею претензий к компании, но это как минимум не красиво.

Вот и всё.
Не знаю мотивов шефа, но его реакция явно неадекватная. Такое чувство (а может так и есть), что это был просто повод чтобы отказать, хотя это можно было сделать и просто так.

Не повторяйте моих ошибок, спасибо тем кто дочитал до конца :)

16
Автор поста оценил этот комментарий
Так так, значит просто по чаще нажимать кнопку вывода, спасибо за информацию.
раскрыть ветку (1)
23
Автор поста оценил этот комментарий

Уже поправили. Однако зная какие у них программисты - не удивлюь что баг заработает снова))

показать ответы
6
DELETED
Автор поста оценил этот комментарий
Вот этот баг, надо было оставиьь как козырь, а играться другим багом.
раскрыть ветку (1)
12
Автор поста оценил этот комментарий

После этого кстати многие дырки закрыли, ведь это была первая уязвимость о которой народ очень быстро узнал (а у кого-то и случайно получалось) и какие-то убытки они понесли. Скорее всего программисты получили нагоняя, ведь раньше я сливал баг до того как кто-то другой его найдёт.
А баги до сих пор есть, но сливать в паблик я конечно не буду.

показать ответы
0
Автор поста оценил этот комментарий

Я всё понимаю про уязвимости и т.п. Но давай подумаем, ты сам придумал себе сумму вознаграждения, спросил будет ли бонус. Получил от человека обещание передать начальству и его личное (как оказалось некомпетентное) мнение про, то что должны денег дать, но про сумму он не уверен и сам считает её высоковатой (может ему столько в месяц платят, потому и дыры везде). И после этого ты обиделся не получив денег? Ещё раз, я прекрасно понимаю твою обиду, и сожалею что ты попал в такую ситуацию. Но не ожидай от компаний баунти если баунти програм явно не заявлена.

раскрыть ветку (1)
10
Автор поста оценил этот комментарий

Я понимаю, к сотрудникам вопросов нет. Но странно, что начальство не выходило на связь столь долгое время, а вышло сразу после очередной уязвимости, но с надуманными претензиями, значит сразу ответ был известен - зачем было пытаться столько вешать лапшу?) И не в деньгах дело, был бы адекватный ответ, работали бы дальше, а тут видимо начальство не нашло сил отказать официально (хз, может сотрудники единогласно были за и падать именно в их глазах он не хотел), ждало повода.

показать ответы
2
Автор поста оценил этот комментарий

У меня из за двойных выводов -105к :) так что норм

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Это сильно :D

0
Автор поста оценил этот комментарий

Автор, извиняюсь что немного не по теме, не было ли опыта тестирования игры kkrieger? Сейчас я учусь находить баги, но к сожалению не к кому обратиться за советом.

раскрыть ветку (1)
0
Автор поста оценил этот комментарий

У меня опыт тестирования web'a и андроид-приложений. Вряд ли по игрушкам типо этой смогу что-то дельное подсказать. Разве что общие действия - сделай как задумано, а потом сделай по своему: обычный человек просто войдет в бар, а тестировщик забежит, заползет, попробует войти через дверь для персонала и т.д.))

Темы

Политика

Теги

Популярные авторы

Сообщества

18+

Теги

Популярные авторы

Сообщества

Игры

Теги

Популярные авторы

Сообщества

Юмор

Теги

Популярные авторы

Сообщества

Отношения

Теги

Популярные авторы

Сообщества

Здоровье

Теги

Популярные авторы

Сообщества

Путешествия

Теги

Популярные авторы

Сообщества

Спорт

Теги

Популярные авторы

Сообщества

Хобби

Теги

Популярные авторы

Сообщества

Сервис

Теги

Популярные авторы

Сообщества

Природа

Теги

Популярные авторы

Сообщества

Бизнес

Теги

Популярные авторы

Сообщества

Транспорт

Теги

Популярные авторы

Сообщества

Общение

Теги

Популярные авторы

Сообщества

Юриспруденция

Теги

Популярные авторы

Сообщества

Наука

Теги

Популярные авторы

Сообщества

IT

Теги

Популярные авторы

Сообщества

Животные

Теги

Популярные авторы

Сообщества

Кино и сериалы

Теги

Популярные авторы

Сообщества

Экономика

Теги

Популярные авторы

Сообщества

Кулинария

Теги

Популярные авторы

Сообщества

История

Теги

Популярные авторы

Сообщества

Недвижимость и ремонт

Теги

Популярные авторы

Сообщества