Разработчики Polygon признали наличие уязвимости, которая привела к потере $1,6 млн

Ivan Ivanov

@gandler но как для баунти, то сумма приличная. обычно платят десятки тысяч долларов, а здесь миллионы заплатили.

Gandler

@ivan-ivanov ну всё равно по сравнению с общим возможным ущербом это капля в море. Я бы за такие услуги взял бы миллионов 20.)

Ivan Ivanov

@gandler так это потенциальный ущерб и не факт, что он еще бы был. а так 3 миллиона долларов - это неплохое баунти вышло для этих пацанов.

Gandler

@ivan-ivanov там вроде один человек, не? Думаете если бы не заметил он, то заметил кто-нибудь другой?! Как они вообще определяют кому сколько платить?

Ivan Ivanov

@gandler писали, что два белых хакера Leon Spacewalker и Whitehat2. наверное они в паре работают и пополам все поделят.

Gandler

@ivan-ivanov так тогда ещё меньше на нос получается. Я понимаю что сама по себе сумма не маленькая, но всё познаётся в сравнении.

Ivan Ivanov

@gandler а где они еще заработают такие деньги абсолютно легально? могли бы попробовать украсть, но сам понимаешь, что тогда спокойно жить не смогут.

Gandler

@ivan-ivanov может для них это то же рулетка. Это прикиньте сколько в мире белых хакеров, проектов. Чтобы найти в них уязвимость и быть первым и что-то за это получить. Кстати тот сервис анализа дыр в проекте опять облажался...это уже третий промах?)

Ivan Ivanov

@gandler так все дело в профессионализме и доле везения. понятно, что хорошие деньги зарабатывают самые умные, а остальные мелочь собирают.

Gandler

@ivan-ivanov в везение точно, потому что проектов так много что попробуй успей всех их проверить. Слушайте после аудита от той компании, можно было бы иметь связь с хакерами с целью нахождения дыр, хакерам они явно больше платят чем аудиторам.)

Ivan Ivanov

@gandler наверное есть какой-то алгоритм проверки, чтобы побыстрее все делать. вряд ли эти люди раскроют свои хитрости.

Gandler

@ivan-ivanov возможно есть самый распространённый список ошибок новичков, ошибок в коде и тому подобное по которому можно быстро пробежаться и что-то найти. Типа список действий что делать чтобы найти баг.

Scott Shelby

"Представители Polygon не пояснили, почему информация о взломе не была опубликована сразу же, а появилась спустя 3,5 недели."
Не пояснили, потому что испугались того, что это отразилось бы на репутации перед сообществом, ну и на курсе бы ещё сильнее сказалось, я полагаю.

Ivan Ivanov

@gandler не думаю, что они целыми днями копаются в коде, не видя белого света. а с такой наградой вообще могут отдыхать пару лет.

Gandler

@ivan-ivanov нет, когда тебе повезло один раз, ты можешь попробовать ещё и ещё. Чтоб было не 3 млн, а 30. В конце концов можно открыть целое агентство.

Ivan Ivanov

@gandler вряд ли такие люди будут работать на кого-то. они предпочитают все делать в одиночку, так что на работу ходить не будут.

Limon1986

Да вообще этоот проект изначально как то не внушал доверия насколько я помню, а сейчас смотрю и переводы с проектов приостановлены по Матику.

Gandler

@ivan-ivanov так работать можно одному, а искать будут другие. Вот представьте что нашли вы, но вы связаны соглашение со своим босом и не можете лично претендовать на награду.)

Ivan Ivanov

@gandler а кто эти другие? ты же не наберешь каких-то студентов, потому что они ничего не найдут, кроме неприятностей )

Limon1986

@ivan-ivanov Это вы говорите про поиск уязвимостей например как я понимаю? Ну здесь при желании можно и белых хакеров затянуть.