- Статус
- Offline
- Регистрация
- 3 Июл 2016
- Сообщения
- 2,444
- Реакции
- 344
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
Один из пользователей криптовалютной биржи Poloniex обнаружил технический баг в системе безопасности и направил письмо о нем в службу поддержки, но так и не дождался от нее ответа.
Рассказ о том, как пользователю удалось обойти двухфакторную идентификацию при выводе средств с биржевого счета, опубликован на портале Reddit. Юзер с никнеймом Poloniex2FASucks написал, что
«Я смог вывести криптовалюту со счета без доступа к двухфакторной идентификации, как для логина, так и для подтверждения вывода средств. Я снял их со счета, воспользовавшись паролем из слитой базы данных. <...> Если вы открываете вашу электронную почту в клиенте, который позволяет просмотр изображений в предварительном режиме, вы подтверждаете исходящую транзакцию, открыв электронную почту».
По словам пользователя, он рассказал о баге в письме службе поддержки Poloniex, но спустя 60 дней так и не дождался ответа.
«Я предполагаю, что они никак не заинтересованы в ее починке и делают это намеренно».
Позднее он сделал апдейт записи, сообщив, что информация об уязвимости была продана.
«Я получил несколько сообщений от других пользователей, обнаруживших баги, которым [из службы поддержки] ответили, что им не заплатят никакой премии за обнаружение уязвимости, потому что они «воспользовались» ей для того, чтобы доказать ее наличие. А мне могут предъявить иск, как это произошло с другими искателями багов, поэтому я решил вместо этого продать информацию об уязвимости».
Средства, полученные от продажи, будут направлены на благотворительность и поддержку сообщества разработчиков. 20% будут пожертвованы на проекты с открытым исходным кодом, 75% будут переданы в благотворительный фонд, принимающий биткоины, оставшиеся 5% пользователь оставит себе.http://www.coinfox.ru/novosti/7445-polzovatel-prodal-informatsiyu-o-uyazvimosti-birzhi-poloniex-iz-za-molchaniya-sluzhby-podderzhki
Рассказ о том, как пользователю удалось обойти двухфакторную идентификацию при выводе средств с биржевого счета, опубликован на портале Reddit. Юзер с никнеймом Poloniex2FASucks написал, что
«Я смог вывести криптовалюту со счета без доступа к двухфакторной идентификации, как для логина, так и для подтверждения вывода средств. Я снял их со счета, воспользовавшись паролем из слитой базы данных. <...> Если вы открываете вашу электронную почту в клиенте, который позволяет просмотр изображений в предварительном режиме, вы подтверждаете исходящую транзакцию, открыв электронную почту».
По словам пользователя, он рассказал о баге в письме службе поддержки Poloniex, но спустя 60 дней так и не дождался ответа.
«Я предполагаю, что они никак не заинтересованы в ее починке и делают это намеренно».
Позднее он сделал апдейт записи, сообщив, что информация об уязвимости была продана.
«Я получил несколько сообщений от других пользователей, обнаруживших баги, которым [из службы поддержки] ответили, что им не заплатят никакой премии за обнаружение уязвимости, потому что они «воспользовались» ей для того, чтобы доказать ее наличие. А мне могут предъявить иск, как это произошло с другими искателями багов, поэтому я решил вместо этого продать информацию об уязвимости».
Средства, полученные от продажи, будут направлены на благотворительность и поддержку сообщества разработчиков. 20% будут пожертвованы на проекты с открытым исходным кодом, 75% будут переданы в благотворительный фонд, принимающий биткоины, оставшиеся 5% пользователь оставит себе.http://www.coinfox.ru/novosti/7445-polzovatel-prodal-informatsiyu-o-uyazvimosti-birzhi-poloniex-iz-za-molchaniya-sluzhby-podderzhki
