Post #769

Криминал под «маской белых хакеров» Уже неоднократно к нам обращались компании, которые думали, что пострадали от «ваших коллег». На деле же, их просто пытались шантажировать! Заходили к ним примерно вот так: «Я Белохакер1337 — исследователь по безопасности, белый хакер. Нашел у вас уязвимости, они очень опасные и страшные, но какие — не скажу. Я получил базу ваших клиентов, вот пара их логинов и паролей, а также их заказы. Заплатите денег, чтоб я вам сказал, как эти дыры закрыть. Иначе солью всю базу в интернет, чтобы все знали, что вы не защищаете своих клиентов!» Что тут не так: - Очевидный шантаж, который попытались замаскировать. - Никакой информации об уязвимостях, а есть ли они? - Никаких гарантий и анонимность. - Очень слабые доказательства. Это чистейший криминал, изображающий работу тех, кто ищет уязвимости на bug bounty. Настоящий же белый хакер может лишь прислать полную информацию о проблемах и попросить (!) вознаграждение на усмотрение компании. Но не требовать и не шантажировать разглашением. Это УК РФ и этика. К слову, в двух самых интересных случаях оказалось, что никаких уязвимостей не было — мы это проверили. А также оказалось, что и доступа в базу не было! Лишь логины и пароли от нескольких пользователей, которые, судя по всему, оказались жертвами стиллеров. Это мы тоже проверили для наших клиентов. Вот такой прямой и пустой шантаж под «маской белых хакеров».