Linkedin(запрещенная в рф соц.сеть) бывает полезен не только для всяких внезапных знакомств, связей или проектов. Сейчас вот вычитал какую-то лютую скам историю. И если сейчас я удивляюсь "доверчивым людям" поколения моих родителей которых разводят скамеры. То совершенно так же кто-то удивится моей доверчивости уже через пару лет.

Оригинальный пост по ссылке ниже.
Кому лень вникать то суть проста. Заскамили студенточку на интервью в большую айти компанию. Напилили домен похожий на правдоподобный. Провели "интвервью". Поздравили с тем что она принята и уже скоро сможет начать свою работу. Ну а чтоб получить оборудование для работы, то нужно купить своей картой с инвойсингом на адрес фирмы. Плюс переслать оборудование на адрес офиса чтоб поставить всякие антивирусы и необходимый для работы софт. Последнее может показаться весьма мутным, но вот "эйфория" от принятия на работу в классную компанию может затмить разум.

PS: Кстати именно через job offer scam совсем недавно поимели какой-то крипто стартап. Запудрили голову девелоперу из этого стартапа. Заимели доступ к его компу. Ну а дальше кек-похек и крипто миксер.
https://www.linkedin.com/posts/shaaahs_jobscam-identitytheft-hiringscam-activity-6965366767665774592-rkvj?utm_source=linkedin_share&utm_medium=member_desktop_web

Никогда не думал что буду искать собственный пост из столь далеких времен. Времен, когда phd и zn не были санкционными. И когда bo0om еще писал что-то в своем блоге.
Оставлю тут, а то потом реально не найду 🤣🙈
PS: пост о похеке вайфаев. Многое уже не актуально конечно...
https://izh-it.ru/news/3f81712b-0c70-47e4-9ad0-52f46c13828b

"Все, кина не будет. Электричество кончилось."

Прилетел мне инвайт недаво в одну программу. Не долго думая решил посмотреть что могу сделать, что могу вытащить. И вот случайно гуглдоркой зацепил список сервисов. И в этом списке вывалилось одной очень интересное название. Название такое, что все из инфосека сразу понимаю серьезность данной компании. Ну и противоречивость их репутации. И оно было совершенно точно не связано с первоначальным объектом исследования.
В целом можно было закрыть результаты выдачи и пойти лечь спать. Но глаза прям видели потенциальную дырку. А руки сами пошли её проверять в час ночи. В итоге кое как потом уснул от увиденного. Ну а дальше...
...
11. All of Disclosing Party's rights .... effect for the entire term of this Agreement and for a period of 3 years following the termination, cancellation or expiration for any reason whatsoever, so long as any information disclosed by Disclosing Party to Receiving Party under this Agreement remains ...
...
Кароч, повезло оперативно найти ответственного человека, дисклоузнуть и влипнуть на NDA со всеми вытекающими.
Я б на их месте еще и ноутбук выкупил 🤣🙈 А то там портал в ад открылся когда мы с ними проблему разбирали.
Историческая херня.

Бурления вокруг компании John Deere уже длятся не первый год. Все началось с того что компания начала навязывать фермерам всякие сервисы и обновления для тракторов за дополнительные деньги. Ну и на сколько я понял фермерам это не понравилось. Еще больше не понравилось то что комьютеризированный трактор сложно обслужить у не официального диллера. На тропу войны с жадной компанией встали хакеры.
Сперва они унижали компанию как могли. Потом начали это делать через публичную bug bounty программу на hackerone. Максимально не ясно как можно было быть на столько жадным, чтоб запустить VDP программу без ревардов исследователям. Умные чуваки не сливали баги в программу и унижали компанию в публичном поле. А я по прежнему не понимаю как им это удается со всякими местными 272.
Ну и вишенкой на торте стал доклад исследователя Sick.Codes где он демонстрирует похек John Deere tractor display да и вообще затрагивает очень важные моменты таких проблем. Ведь похек self driving трактора до добра не доведет. Я как эксперт в тракторах совершенно точно это знаю.
Надеюсь у рисёрчера не будет никаких серьезных проблем. А компания сможет поменять свое отношение к деньгам 🙄

У сотрудников Uber сегодня черный день.
Хакерок попал во внутреннюю сетку. Посканил ее. Зацепил какой-то powershell скрипт. А дальше он уже пошел гулять по всем сервисам компании. Сходил в aws, slack, onelogin, gsuite…Даже дошел до аккаунтов сотрудников на платформе Hackerone и оставил во всех репортах сообщение - «UBER HAS BEEN HACKED (domain admin, aws admin, vsphere admin, gsuite SA) AND THIS HACKERONE ACCOUNT HAS BEEN ALSO».
Остается пожелать удачи сегодня команде безопасности Uber 🤪💁🏻‍♂️

В этой истории с Uber повис в воздухе вопрос. А как же хакер попал во все сервисы минуя 2FA?!
И ответ был получен от самого хакера... Оказывается в Uber использовался DUO.
И вот что пишет duo про свой сервис - "Обеспечить безопасность всей организации еще никогда не было так просто. Продукты Duo для двухфакторной аутентификации, удаленного доступа и контроля доступа быстро развертываются в любой среде. Мы помогаем обеспечить безопасность компаний, как никогда ранее, с минимальным временем простоя и оптимизированной производительностью."

Хакерок просто заспамил одного из сотрудников уведомлениями запрашивающими разрешение на вход с нового устройства. А затем добавил свое устройство в доверенные.
А что касается DUO, то помогли дак помогли... 🙈

Накатал тут подробный разбор по истории с Uber. А то их заявление что пользовательские данные не задеты - это как мне кажется сильно поспешное заявление.
В публикации так же есть кое-какие подробности, которые ранее нигде не всплывали. Потому что я не поленился и задал пару вопросов этому хакеру 🙂
https://telegra.ph/Hacker-Uber-Kak-ehto-bylo-Smozhet-li-Uber-skryt-sereznost-dannoj-ataki-09-17

Старая грвардия из тех кто давно со мной в курсе, что этот блог начинался как блог о том как живётся "за границей". В какой-то степени Поросёнок Пётр это моё альтер эго. Когда люди интересовались стоит ли уезжать, то я писал и плюсы и минусы. Но минусов было больше. И клуб "поросят" по определенным причинам не рос. Но вот теперь это прям какое-то нашествие людей которые завели трактор. И что более удивительно как люди умудряются жаловаться на сложности переезда сейчас. Или высокие цены на билеты, квартиры. Или то что они "теперь то открыли глаза" и не хотят в этом всем принимать участие. Или что соседние республики не такие классные и красивые.
Ну во-первых - добро пожаловать в клуб. Теперь я даже думаю может мерч выпустить. Чирканите в комментах кто готов купить футболян 😄
Во-вторых - у меня есть друзья мобилизированые уже с 24 февраля, и они не могут выехать из страны, не могут увидеть свои семьи, и вообще "панические атаки" для некоторых из них - это просто как чай попить утром. Так что когда вам тяжело от того что вы покинули свой дом, то вспоминайте что кто-то своего дома вообще лишился.
И мне жаль всех, кто вынужден переживать всё это.

Всё пройдёт, всё проходит когда-то
Будет год, будет день, будет миг
В одиночестве, в морге вчерашний диктатор
А теперь просто мёртвый старик (с) Порнофильмы

PS: Моралисты боты welcome в комменты 😉

Что-то набралось столько дел... Столько похеков интересных за последнее время, что даже писать некогда.
Но лучше поздно чем никогда.
Тут ребята из projectidscovery запилили возможность создавать сканерные nuclei template сразу через плагин бурпа.
Очень классное решение. Как раз для таких лентяев как я 😂
PS: Мне кажется сканеристы todayisnew, nagli и d0xing немного напряглись.

Тут недавно чуваки на Hackerone обнесли программу Opensea на 615,000$ за последние 90 дней. Основными участниками похеков были cdl и renekroka. И да, там за один крит выдают 100к$.
К слову renekroka в твиттере светанул сколько они вынесли за последнее время с корешем, и обещал сделать райтап. И вот кажется мне самое время подтянуть знания в этой области и зачекать эту презу. Выглядит интересно.
https://youtu.be/ie5kmTHaeN8

Нормальный такой читщит набрался по стандартным паролям. Схороню тут.
https://github.com/ihebski/DefaultCreds-cheat-sheet

Эта история достойна оскара за отличную актерскую игру команды безопасности одного вендора.
Две недели чуваки затылок чесали с багой по утечке данных всех клиентов. И вот сегодня говорят исправлено, и вообще это не P1(Critical), а всего лишь P2(High). И закатай губу на ревард в секции critical. И про CVSS нам вообще не рассказывай!
Это прям самое любимое, сперва "исправить", а потом разговоры разговаривать за критичность.

Вот только одно не учли пацаны. По ходу разрабы их развели в пятницу вечером. И фикс полноценный реализовать не смогли, но почему-то сказали что fixed. А команда security видимо проверять фиксы не любит.
И вот кажется самое время сдампить всю базу целиком и спросить еще раз, а точно ли это не Critical issue 🙈😂

Очередная наглядная история о том как Soft skills могут быть полезны. Ведь чисто на "переговорах" я заработал больше чем на самом репорте.
История была максимально простая. Два critical issue лежали рядом со скоупом программы. Скоуп открытый, т.е *.example.com, т.е вроде как есть шанс что люди заинтересованы во всём новом, важном и разнообразном. Ну и я принёс им утечку данных всех пользователей в двух местах. Они конечно метнулись, исправили. А потом начали дурачков включать. Это не critical, а вот другой репорт вообще дубль, а и там только несколько юзеров, а это мы не поняли и ошиблись видимо...

В итоге после убедительной беседы в репорте, они извинились, докинули как положено, ну и пришли с просьбой подписать агримент что я никакие данные не прикарманил.
Ну, а мне видимо надо в церковь сходит. Как-то больно много в последнее время ситуаций таких где нужно доказывать очевидное.

У меня тут случилась "история" недавно с одной израильской конторой. Просто случайно нашел у них адовый мисконфиг. Но суть не в этом. Как правило коммуникация была в вечернее время к концу рабочей недели. Сам bug report я изначально отправлял им в четверг. Фиксили долго и не с первой попытки. Но больше всего меня удивляло что они к концу недели интерес теряли. Если я им пишу о чем-то серьезном в пятницу, то интереса большого они не проявляли. И у меня на всё это возникала мысль - "ну что за распездолы такие!"
Для меня вообще нет выходных и праздников когда проблема касается customers data.
И вот совсем недавно я узнал что в Израиле пятница и суббота - официальные выходные дни. А рабочая неделя начинается с воскресенья.
Выходит никакие они не распездолы 😂
Просто мне надо кругозор расширять.

Похоже что сезон подошел к концу 🏄🏻‍♂️🥲
И все, что остается - работать, работать, хекать и учить немецкий 🤪

В последнее время частенько приходилось проверять ограничения где блокировку делают по айпишнику. И каждый раз я изобретаю велосипед. Конечной цели достигаю конечно же быстро и метко. Но вот подход к решению меня огорчал. Наткнулся тут на how to от ровных пацанов по работе с Rotate IP под Burpsuite.
Оставлю тут иначе потеряю.
https://lokeshdlk77.medium.com/how-to-rotate-ip-address-for-each-request-in-burp-suite-4e29645ef23e
https://pensivesecurity.io/blog/2020/07/14/Tutorial-Brute-Force-Credentials-with-Rotating-IPs-in-Burp-Suite/

Забавная новость получившая публичную огласку. Рисерчеры поднатужились и хакали компанию ради денег и славы, а получили фигу с маслом. Заслав десяток критических уязвимостей, менеджер программы попытался слить рисерчеров, но в итоге слили его самого. И вообще это очевидно и понятно почему такое происходит. Однажды менеджерам компании присели на уши продажники из hackerone. Продали им сервис за кучу денег. Но не научили как делать секьюрити и как вести себя с рисерчерами. И как не красиво зажимать деньги за работу по правилам описанным в программе. Надо будет попробовать разузнать кто там стал кандидатом на вылет с платформы. А то сейчас они вылетят с х1 и залетят на другую платформу.
На фоне этих новостей я начинаю верить в медитэйшн реквест. Ведь у меня 5 sql injection фиксанули и перевели в информатив. Не красиво как-то 🥲

https://twitter.com/jstnkndy/status/1587130483959373825?s=21&t=w7aA8VIUryOKPvBrRUtrVA

Update: оп, а тут интересная статья про всё это. Кажется х1 теряет репутацию в глазах рисерчеров и пытается ее вернуть(но думается что поезд ушёл).
https://www.techtarget.com/searchsecurity/news/252526562/Researchers-criticize-HackerOne-over-triage-mediation-woes?amp=1

Строго рекомендую посмотреть и послушать любителям кавычек. Весьма интересный подход рассказал и показал Tom Anthony в своем докладе о фазинге санитайзеров и поиске рабочих XSS. Я как-то правда ранее не встречал подобный подход. Он по сути смотрит какой санитайзер используется в приложении на клиенте, а потом идет и локально собирает на фазере рабочий эксплойт под конкретный санитайзер. И вот если с клиентским санитайзером все просто. Можно посмотреть в исходном коде страницы и догадаться какая библиотека используется. Но он такой же метод практикует при поиске и для server side санитайзеров и последующих похеков. И точно так же поднимает локально санитайзер и через DOM определяет на отлетевшие ошибки в результате валидации. В целом я не особо встречал людей кто на бб так заморачивается в поисках валидных векторов под xss. Максимальный респект чуваку. Особенно за то что не спрятал идею и расказал на публику.

Констатирую факт что HackerOne встал на тропу исправления. И теперь я могу сказать что meditation работает. В ближайшее время расскажу весь этот хоррор в деталях.
А пока понтонусь как я попал в какой-то список по типу "most valuable hacker" из числа 500 активных хантеров на платформе. Звучит понтово. На деле мне кажется на платформе всего именно 500 активных и старательных баунтеров 😂
PS: но всё равно приятно 😇

Казалось бы что после бага в плэйстэйшн с входом в аккаунт используя пароль "пробел", что может быть более эпичным?!
Оказывается может!
Разблокировка гугл пикселя просто через сим-кард свопинг. Чел который это нашел сам пребывал в большом удивлении. Ну и ревард в 70к я думаю удивил его не меньше потому что ему еще пришлось побороться за валидность этого бага.
Приятного чтения 😉
https://bugs.xdavidhu.me/google/2022/11/10/accidental-70k-google-pixel-lock-screen-bypass/