Здравствуйте. Казалось бы, в современном мире есть довольно очевидные (даже для среднестатистического человека не связанного напрямую с IT) понятия. Например, что хранить пароли плейнтекстом в txt на рабочем столе — это плохо. Но, хостинг ukraine, к сожалению, понял это только в январе 2020. Ссылку не оставляю, дабы не нарушать правила, но гуглится быстро. А что же с другими провайдерами? Например, с интернет-провайдерами. Я решил провести небольшой эксперимент, и поделиться им с вами. Скажу сразу: у меня не было никакого злого умысла, как и не было цели навредить кому-либо. Зато есть цель донести до людей что стоит более ответственно относиться к пользовательским данным и личным кабинетам, в особенности, если в них есть возможность беспрепятственно менять настройки. Возможно, если эту ситуацию придать огласке что-то изменится. А может и нет. Кто знает… Я все же попробую.
Читать полностью »
Рубрика «fail»
Как провайдеры заботятся о безопасности клиентов
2020-02-16 в 19:59, admin, рубрики: fail, isp, security, информационная безопасностьЦеремонию подписания ключей Интернета DNSSEC отложили: не могут открыть один из сейфов с материалами для церемонии
2020-02-13 в 16:00, admin, рубрики: Ceremony, DNSSEC, fail, IANA, icann, Root KSK, информационная безопасность, Сетевые технологии
Сороковая церемония Root KSK Ceremony, назначенная на 12 февраля 2020 года, была в последний момент отложена до субботы 15 февраля из-за того, что представители Администрации адресного пространства Интернета (Internet Assigned Numbers Authority, IANA) не смогли в нужное время открыть один из сейфов из-за сбоя в работе его замкового механизма. Внутри этого закрытого сейфа хранятся материалы для церемонии подписания криптографической пары (открытый и закрытый ключи) — ключа для подписания ключей корневой зоны (KSK).
Читать полностью »
Уязвимости Киевстара: 1) разбор предыдущего поста про пароли + 2) инфо о покупках, проходящих через сервисы Киевстара
2019-01-09 в 7:29, admin, рубрики: 50 долларов, bug bounty, fail, информационная безопасность, киевстар, платежные системы, Тестирование веб-сервисов, Тестирование мобильных приложенийПривет. Я тот, кто полгода назад получил логины и пароли Киевстара от таких важных сервисов, как: JIRA, Amazon Web Services, Apple Developer, Google Developer, Bitbucket и многих других, зарепортил их по Bug Bounty и получил 50 долларов различные комментарии к репостам моей публикации.
Например:
- Собственно, Хабр, 33 тысячи просмотров, 188 комментариев: Bug Bounty Киевстара: награда за админский доступ к сервисам Jira, AWS, Apple, Google Developer, Bitbucket — 50 долларов
- AIN.UA, 12 тысяч просмотров: Тестировщик получил доступ к корпоративным сервисам Киевстар. Ему предложили всего $50
- ITC.ua, 350 комментариев: «Киевстар» предложил пользователю $50 за найденные пароли к корпоративным системам, тот остался недоволен
- Ebanoe.IT, 26 тысяч просмотров, 169 комментариев: Хакеру всунули подачку 50$ за найденную уязвимость в системе Киевстар
Спасибо вам за поддержку и комментарии! Итоги голосования:
Bug Bounty Киевстара: награда за админский доступ к сервисам Jira, AWS, Apple, Google Developer, Bitbucket — 50 долларов
2018-07-31 в 6:13, admin, рубрики: bug bounty, fail, информационная безопасность, киевстар, платежные системы, Тестирование веб-сервисов, Тестирование мобильных приложенийИстория о совпадении, везении и вознаграждении.
Два года назад пользователь dinikin написал пост, как он нашёл уязвимость в личном кабинете крупнейшего мобильного оператора Украины — Киевстар. Уязвимость позволяла добавлять к себе в аккаунт без верификации любой номер телефона Киевстар и полностью управлять им:
- просматривать баланс и детализацию звонков;
- просматривать PUK-код и серийный номер SIM-карты, что позволяет самостоятельно заменить SIM-карту;
- добавлять новые услуги и менять тарифный план;
- и самое главное — переводить деньги с телефона на телефон.
Уязвимость была закрыта, а автору в благодарность выплатили огромную премию подключили 4000 мегабайт интернета на 3 месяца.
Позже хабрапользователь rewiaca в своём посте "Почему в Украине нет белых хакеров или история взлома Киевстар" описал ситуацию со столь щедрой наградой более эмоционально.
В комментариях тогда отметился Виталий Султан, Soultan, Chief Digital Officer Киевстар, пообещав вскоре запустить в компании Bug Bounty.
И вот, спустя почти два года, Киевстар анонсирует запуск собственной программы Bug Bounty. Одной из первых фраз в анонсе была следующая:
В «Киевстаре» отметили, что приняли решение запустить программу после того, как нашли уязвимость во время бета-тестирования обновленной системы «Мой Киевстар».
Как видим, компания лукавит, ведь именно пользователь Habrahabr.ru dinikin нашёл уязвимость в системе «Мой Киевстар».
Читать полностью »
Как мы перебанили обычных игроков и заDDoSили свои сервера: практическое руководство
2018-07-18 в 9:30, admin, рубрики: fail, Блог компании Pixonic, разработка, разработка игр, Управление продуктом, управление разработкой, факапыРассказывать о новых проектах это, конечно, хорошо, но не всегда всё получается, как мы хотим. В общем, начали тут вспоминать факапы из прошлого, когда решение одной проблемы прибавляло новых, увлеклись и решили поделиться парочкой. Как забанить невиновных игроков, заддосить собственные сервера, ошибиться в одной букве и словить тонны негатива от пользователей — вот это всё, как мы любим.
Команда Hemlis объявила о закрытии проекта
2015-04-22 в 15:36, admin, рубрики: fail, hemlis, информационная безопасность, мессенджеры, обман 
2 года назад на Хабре появился радужный пост о том, как скоро будет запущен первый полностью защищенный мессенджер от создателей пиратской бухты. Прошло время, вышел Telegram, Whatsapp обзавёлся шифрованием, а Hemlis так и не появился в онлайн-магазинах для мобильных платформ. Разработчики по началу исправно кормили завтраками в твиттере, переодически выкладывали отчёты в своём блоге, и тратили пожертвования на сумму $100 000, собранные в первые 36 часов.
Читать полностью »
История неудачного кейса: Как мы сливали алкоголь
2015-04-09 в 6:41, admin, рубрики: evo, fail, кейсы, магазины, Управление продуктом, управление проектами В данной статье на примере одного неудачного кейса рассмотрим, как отличные навыки дизайн-мышления и креатива, использование ярких идей в совокупности с методологией user-centered design применялись при проектировании зарубежного элитного интернет-магазина алкогольной продукции. В статье будет не просто описываться все случившееся как неизбежность, но и будет проведена попытка проведения «работы над ошибками».
Читать полностью »
Диагностика проблем после инсталляции или апгрейда ORACLE APEX
2014-12-15 в 8:02, admin, рубрики: empty page, error, fail, forbidden, not found, oracle, Веб-разработкаЧто делать, если после апгрейда или инсталляции APEX вместо стартовой страницы браузер показывает сообщение об ошибке или пустую белую страницу? В данной статье собраны наиболее частые причины и методы решения подобных проблем.
Fail story проекта SaaS Helpdesk для малого бизнеса
2014-07-14 в 8:39, admin, рубрики: fail, Help Desk Software, helpdesk, servicedesk, Блог компании ITSM 365, старпат, управление проектамиВсе закончилось Pivot-ом. Но первоначальную идею мы зафейлили.
Pivot — это этап жизни стартапа, при котором в результате переосмысления полученного опыта происходит изменение бизнес-модели. Степень этого изменения может быть разной. Но большинство экспертов по широкому кругу вопросов сходятся во мнении, что успешных стартапов, не сделавших Pivot, не бывает.
Наш проект ITSM365, пройдя переосмысление и поменяв позиционирование, смог выйти на положительные финансовые показатели, достаточные для развития без привлечения инвестиционных денег. Это ещё не супер успех, но уже повод для того, чтобы поделиться своим опытом. И своими неудачами.
Этим и займемся под катом.
Читать полностью »
Как мы не заработали миллион на приложении для iPhone
2014-05-19 в 5:54, admin, рубрики: fail, iOS, ios development, iphone, mobile development, start-up, разработка под iOS, стартап, метки: fail, iOS, ios development, iPhone, start-up, стартап 
Эта статья о самых главных ошибках четырех backend разработчиков, которые решили заработать денег на приложении для iPhone не имея никакого опыта в разработке мобильных приложений и тем более их продвижении.
Все началось с того, что чуть более года назад мы собрались и решили написать небольшое, но полезное приложение. Небольшое, потому что опыта не было, а затягивать выпуск на неопределенный срок не хотелось. Полезное, чтоб каждый из нас хотел им пользоваться. Работать над приложением мы решили в свободное время. В результате долгих споров у нас появилась идея, которая устраивала всех.
Ошибка #1 — Идея
Не удосужившись провести тщательный анализ рынка мы решили написать приложение для составления списка покупок. Отличительной чертой должна была стать умная сортировка с возможностью быстрого составления списка и красивый дизайн. Но, как оказалось, этого было недостаточно, чтобы покорить рынок, который и так был переполнен похожими приложениями.
Вывод: в следующий раз сначала очень серьезный анализ рынка, потом поиск людей готовых купить идею, и только потом продукт.
Читать полностью »