Wszyscy piszecie, że złodziej, że niemoralny, że amator. Prawda jest taka, że okup to ryzyko - skoro pobrał jeden, to pewnie pobrali i inni (wcześniejsze SMSy o tym świadczą). Natomiast odnoszę wrażenie, że Morele nadal nie wiedzą gdzie, kiedy i dlaczego był wyciek. Paręset tysięcy za takie konsultacje, zabezpieczenie i przeszkolenie to są grosze. Co do #!$%@?, że dzieciak odrzucił ofertę pracy - przypominam, że niejeden przypadek chęci pomocy, gdzie ludzie nawet
@wstawajzs: nie trzeba kończyć psychologi, żeby wyczuć, że ktoś Cię próbuje podejść. Zwłaszcza w tak nieudolny sposób. Poza tym znam robotę od strony IT i wiem, że nikt takiego czegoś by nie zaproponował. Pół miliona z kieszeni pewnie Działu IT, poza wiedzą prezesa. No ja Cię kurfa proszę...
@RRybak: Ale dlaczego te paręset tysięcy złotych mieliby zapłacić akurat szantażyście? Za taka kasę wynajmą profejsonalistow, którzy zrobią to samo tylko lepiej i do tego napiszą elegancki raport i wystawią na koniec fakturę.
Ja 2 lata temu znalazłem sposób, jak dużej firmie wyczyścić bazę danych z newslettera. Atak banalny, 3 min klepania w bashu. Usunąłem 2 realne adresy na próbę. Zapisałem je w mailu, opisałem bardzo szczegółowo sposób ataku i zapewniłem, że nikt o tym nie wie i wysłałem zgłoszenie przez formularz. Za chwilę odezwał się do mnie szef IT, czy podam nr tel. żeby o tym pogadać- podałem. Zadzwonił, pogadaliśmy. Dziurę szybko załatali, a
@kto_ma_potrzymac_dwie_dychy: Kilka lat temu zgłosiłem błąd do pewnej polskiej firmy, którą każdy zna z nazwy produktu a 95% ludzi z androidem miało ich aplikację wgraną. Wskazałem błąd, przyznałem się, że moja licencja pochodzi z ww. błędu (po 10 minutach od jej utworzenia) i w ramach tego: - prawie nie straciłem pracy. - byłem zastraszany wszystkim po kolei z ich strony i w sumie tylko mailowe zgłoszenia wszystkiego mnie uratowały. Nie chciałem
@matowoszary: myśli, że niepopełnił błędu, jest sam, po drugiej stronie już pewnie zespół pracuje, zostawił dużo śladów, jak się zatną na niego to wpadnie, ciekawe, czy zdąży wyciągnąć wtyczkę zasilania... ( ͡°͜ʖ͡°)
Podsumowując - 1. baza może mieć wartość tylko dla podmiotów działających poza prawem, więc handel nią to już bardzo śliski temat z ludźmi na których lepiej uważać, 2. Morele zignorowało kwestię bezpieczeństwa, za co ponoszą właśnie konsekwencje i słusznie.
@CzerwonyIndyk: Morele nie ma bug bounty, gdyby napisał im o błędzie nie pobierając bazy mogliby mu odpisac " o dzieki pan xarm załataliśmy dziure, dane naszych klientów są bezpieczne blabla wyślij adres wyślemy parę gadżetów firmowych" i nie miałby ani kasy ani bazy :P Mimo że nie szanuje xarm(chyba że baza nie zaliczy publicznego leaku) to jednak rozumiem jego decyzje.
Komentarze (553)
najlepsze
Co do #!$%@?, że dzieciak odrzucił ofertę pracy - przypominam, że niejeden przypadek chęci pomocy, gdzie ludzie nawet
Poza tym znam robotę od strony IT i wiem, że nikt takiego czegoś by nie zaproponował. Pół miliona z kieszeni pewnie Działu IT, poza wiedzą prezesa. No ja Cię kurfa proszę...
Komentarz usunięty przez moderatora
- prawie nie straciłem pracy.
- byłem zastraszany wszystkim po kolei z ich strony i w sumie tylko mailowe zgłoszenia wszystkiego mnie uratowały.
Nie chciałem
nawet bym się uśmiał, ale to nie jest ani trochę zabawne, także ten ( ͡° ͜ʖ ͡°)
Poza tym nie tylko on tę bazę moreli posiada, więc fiutek mu pewnie zmalau.
mogłeś wytargać chociażby 50/100k bo tyle by ci napewno dali, a ty od razu z grubej rury.
opublikujesz baze i co? masz satysfakcję z tego? co z tym zyskasz? poza tym ze wczesniej czy pozniej bedziesz mial najazd bagiet
Mimo że nie szanuje xarm(chyba że baza nie zaliczy publicznego leaku) to jednak rozumiem jego decyzje.
@PrawieJakBordo: no #!$%@?, jeszcze chwali się tym osobiście w clearnecie na wkopie jak dziecko XD