Баг — Подорожник (Спб) бесплатные поездки. Куда, как и что писать?
Случайно, при определенном действии (не буду раскрывать каком), проезд был "оплачен" без списание средств с электронного кошелька "Подорожника". Валидатор кондуктора показал, что я "оплатил" проезд. Такое действие было произведено дважды, с разницей в день, повторилось. Попробую повторить еще раз через неделю.
Речь идет про наземный транспорт, с метрополитеном данная схема не проходит, видимо в виду большего контроля.
Вопрос в следующем, есть способ как проинформировать соответствующие органы об этом и не быть наказанным? как это сделать и стоит ли вообще?
UPD 1
Вот по идее нашел адрес (правда он общий) 5765555@orgp.spb.ru , что писать то?
Искать того, кто им это расскажет бесмысленно, проще в какую-нибудь редакцию написать.
Не делайте. Пользуйтесь себе, пока работает. Рассказывать - только проблем себе нажить, Россия - не Европа и не США, где за подобные багрепорты еще и денег приплачивают.
"Пользуйтесь себе, пока работает" при хорошей юридической поддержке попадет под мошенничество, т.к. проезд - это присоединение к публичному договору (выраженное конклюдентными действиями). А в этом договоре написано, что взамен предоставления услуги проезда получатель услуги должен оплатить ее стоимость. И от факт что какое-то применяемое техническое средство сбора оплаты "не взяло" с Вас ее стоимость, никак не меняет условий договора, т.е. Вы его нарушаете. Дальше идет только доказательство - умышленно (мошенничество) или неумышленно.
Недавно был аналогичный (по сути) вопрос где-то на англоязычном pen-test форуме.
Один из вариантов ответа :
Найти какую-нибудь известную (адекватную) личность в ИБ (например, руководителя какой-нибудь ИБ-компании) и передать ему на условиях конфиденциальности Вашей персоны. Он уже дальше передаст либо в гос.органы либо разработчику. Его статус с высокой вероятностью отсечет все подозрения в злом умысле.
Сам факт подозрения злого умысла в репорте результатов пентеста абсурдна. Я нашел баг, который потенциально стоит фирме сотен тысяч денег в год и зарепортил - конечно же я злодей и меня нужно засудить. Отличный стимул скрыть баг и пользоваться им.
LeEnot: я даже не знаю, что вам на это написать. Вы думаете, если я напишу спокойно, а они не исправят баг, а потом кто-то еще его обнаружит и будет пользоваться (а может уже пользуется), то они (кто они?) спохватяться лишь только когда это будет массово.
Проблема в том, что я не знаю причину бага, я лишь вижу следствие при определенном стечении обстоятельств.
Prokoshin: да и пусть страдают. вас правда беспокоит доход какой-то фирмы? лучше позаботиться о своей безопасности и свободе. много случаев показывает что эти добрые намерения плохо заканчиваются. у них же там свой юридический отдел может сидеть, которому свой сахарок надо отработать. тем более ради чего?
Причина в том, что я не сделал это сразу, я не знаю куда и что конкретно писать. Так как по-моему просто тупо написать, что из-за "чего-то" у вас баг (причем "чего-то" тоже не факт, что является причиной) кому попало тоже бред, так как просто незаметят
Я обычно пишу анонимно и в теме письма указываю "Админам! Ошибка на сайте"... В письме прикладываю скриншоты и описываю проблему... Многие благодарят, а многие еще и возмущаются :) Но у меня в профиле есть ссылка на аккаунт в xssposed.org и hackerone.com. С ними проще убеждать!...
Простой
Простой
