Нашел уязвимость на крупном сайте, что делать?

Question

[Ильгиз Хамитов]

Нашел на одном крупном сайте уязвимость (если можно так сказать), суть такова что при регистрации нужно подтвердить номер телефона, притом пройти капчу.

Суть такова, что можно отправить на любой номер телефона код подтверждения минуя капчи.

Можно автоматизировать действие, которое будет слать всем подрядят смс с кодом подтверждения.

ТП не отвечает больше 2 недель.

Answer 1

[Александр Камолов]

Либо такая техподдержка. Например как на яндексе, раз ты говоришь, что крупный сайт. Напиши им что у тебя есть PoC, можешь даже выслать им его. Либо позвони им и пусть переключат на СБ и им объясни

Comments

[Ильгиз Хамитов]

В ТП дали ответ, я им отписал как реализовать данную реализацию и они затихли и не исправили(

Answer 2

[АртемЪ]

что делать?

Да что угодно. Хоть танцуйте.
Вы что хотите получить в итоге?
Денег? - Не факт что заплатят.
Просто помочь? - ну так вы уже сообщили, когда сочтут нужным, тогда и исправят.
Они же не обязаны исправлять. Может их и так все устраивает.

Comments

[Ильгиз Хамитов]

Денег - и сколько они выплатят 1000 рублей)

Если ее не закрыть, то можно и в минус уйти смс денег стоят.

[АртемЪ]

Ильгиз Хамитов: Вот я и пытаюсь понять - вы лично чего хотите?
Зачем оно вам?
Увидели, сообщили- ну отлично.

[Ильгиз Хамитов]

Артем: чтобы закрыли) Есть смысл писать на хабр?

[АртемЪ]

Ильгиз Хамитов:
1)Судя по вашему описанию это вообще не уязвимость. Никакие персональные данные не утекают. Никаких угроз не представляет.
2)Вы хотите чтобы ее закрыли? Ну так обратитесь к руководству сервиса, озвучьте им свое желание, предложите денег за исполнение этого желания. Если договоритесь о цене, возможно они исполнят ваш каприз.
3)А какой смысл писать на хабр? Кому это может быть интересно?

[Ильгиз Хамитов]

Артем: ( как тогда назвать данное чудо? Недочет программистов, который сделали бреш, которая может принести убытки. Никаких ограничений на отправку смс.

[АртемЪ]

Ильгиз Хамитов: Ну возможно у них крупный пакет смс куплен, и им пофиг если там +- десяток тысяч смс.
К тому же тот кто воспользуется данной брешью совершит нарушение закона.
Т.е это будет фактически взлом.
А от взлома никто не застрахован.

[АртемЪ]

Приведу аналогию -
Вот идете вы по улице, видите что у человека шнурок развязался.
Конечно вы можете подойти и обратить его внимание на этот факт. Это хороший поступок.
А вот представьте - этот человек посмотрел на шнурок, кивнул и пошел дальше.
Что вы будете делать?
Догонять и насильно заставлять шнурок завязать? Или милицию вызовете? Обратите внимание общественности на этот вопиющий поступок?

Суть в том что это их ресурс, и их проблемы. Возможно они это проблемой не считают, и решать вообще не собираются.

[Ильгиз Хамитов]

Артем: спасибо за разъяснение)

Answer 3

[Coderast]

Зря написали в ТП, сначала спросили бы. Не ясно, разрешается ли на один телефон отправлять несколько раз. Если разрешается не чаще, чем в 1 минуту, то толка от такой уязвимости нет. Если ограничений нет - можно делать услуги флуда мобилок SMS'ками, например.

Но это все чернуха. По другому денег не сдерешь, они не заплатят, если у них нет это в соглашении специальном, как у фейсбука, яндекса и гугла.

P.S. Да и обойти капчу можно с помощью специальных ресурсов, что используют нейронные сети. Так что хоть при реге в gmail шлите, толку от такого нет, если стоит ограничение на отправку подтверждений определенному телефону.

Comments

[Ильгиз Хамитов]

Суть такова, что можно написать скрипт, который будет перебирать телефоны и отправлять на них смс. На 100 номеров отправилось за 2-3 секунды это все можно в облака перевести.

[Ильгиз Хамитов]

Ограничения есть на один номер, но здесь суть другая, перебор номеров и отправка на них смс, ни каких ограничений.

[Coderast]

А можно редактировать содержимое СМС?

[Ильгиз Хамитов]

Coderast: нет. Это код подтверждения

[Coderast]

Тогда смысл от такой уязвимости? Человеку ничего не будет, если ему придет СМС'ка с кодом подтверждения однократно. Другое дело, если бы оно было с произвольным содержимым или по СМС в секунду. Сам сайт убытки от отправки СМС не несет, у них просто SIP сервер, или аккаунт, там безлимит на СМС.

[Coderast]

Можно попробовать раскрутить эту штуку до чего-нибудь более опасного.

[Ильгиз Хамитов]

Coderast: суть в том, что можно отправить не хилое количество смс. То есть компания не понесет ущерба, если кто то отошлет не хилое количество смс?

[Coderast]

Зависит от тарифов, которые они юзают. Для SIP есть безлимитный. Я сомневаюсь, что какая-то компания в здравом уме будет использовать лимитный тариф для отправки подтверждений по SMS. Так что нет - не понесет.

[Ильгиз Хамитов]

Coderast: )

[Coderast]

Кстати, вопрос о моем нике. Он не слишком похож на "пидер@ст"?))

[Coderast]

А то задумался только сейчас :/

[Ильгиз Хамитов]

Coderast: нет :D)