Что-то год насыщенный получается. А тут еще и мой доклад на BSides Berlin одобрили.
Осталось собрать красивую презентацию. Залетайте на конфу в ноябре. Ну или ждите записи 😉
https://bsides.berlin

Подъехал отчетный ролик по Live Hacking Event от YesWeHack и TeamViewer.
Еще раз убедился что европейские конторы с европейскими платформами живут на более скромных бюджетах.
Продолжаю держать курс на HackerOne Top 100 😎

Лютый пример как похеренный список CSP доменов у Salesforce привел к Critical issue в Agentforce чатботе.
Ребята просто выкупили забытый домен который жил в CSP полиси, и провернули indirect prompt injection.
Просто, красиво, круто!
https://noma.security/blog/forcedleak-agent-risks-exposed-in-salesforce-agentforce/

На HackerOne забанили очередного хакера. Причем достаточно толкового. Он успел настрелять достаточно крупную сумму на протяжении последних 3 лет. Причина тому - национальность. Проблема - вероятное нарушение политик платформы по части санкционных ограничений.

Т.е либо он сам был замечен в связях со страной откуда он был родом (Иран). Либо помогал кому-то на платформе обходить ограничения через collaboration (сам того не понимая).

Вывод истории прост - теперь коллаборации на платформе безопасно делать с людьми у которых есть два статуса Clear-verified. В противном случае можно получить проблем за помощь тому, кто может быть не чист на руку.

Давно критиковал менеджеров HackerOne за отсутствие мотивационной составляющей для исследователей в виде различных плюшек.
Раньше было негласное правило что на рубежах 2500, 5000 и 10000 репутации можно попросить саппорт выслать тебе мерч.
Теперь они выкатили официальную штуку HackerOne Milestone.

Можете порадоваться за меня. Спустя годы стараний у меня есть лицензия BurpSuite на три месяца 😂
Но я конечно останусь предан Larry Lau 😏

В Сингапуре закончился Live Hacking Event от OKX и Tiktok. Мне было очевидно, что ивент весьма специфичный и сложный. И я отказался от участия просто потому что у меня нет времени сидеть и разбираться 2-3 недели без сна.

По таблице leaderboard в целом видно что было не просто.
Но интересно другое. Чел который оказался на первом месте с единственной критической багой - унес исторический максимум разовой выплатой на платформе! Он же и забрал статус Most Valuable Hacker.

PS: OKX запретили ему рассказыват о находке. И ему не разрешили показать свой креатив на закрытой секции Hack and tell (этим он был очень огорчен).

Лучшая новость по теме AI, которая еще напоминает о необходимости человека и человеческого труда.
Ну и лишнее напоминание оптимизаторам бизнесов.

Ремонт практически доделан. Теперь остается утащить остатки вещей и написать повесть о том как проходила сама сделка и как проходил ремонт. И все сюрпризы которые я собрал. Вообще отличная школа жизни получилась. Сегодня в зеркале даже пару седых волос нашел 😂

Несколько знакомых уже спросили в чем логика переезжать в старый жилой фонд если мою новостройку таки скоро доделают (предположительно в Q1 2026). Чтож, логика очень простая. Сдать новостройку я могу по рыночным ценам. А вот сдавать "вторичку" по рыночным будет весьма опасно. Вот свежий пример со штрафом в 26к Евро за сдачу по завышенной цене, и компенсации арендатору на 22к евро. И "завышенная" цена формируется из индекса цены сдаваемой квартиры + расходы на её содержание и обслуживание.
И я максимально не понимаю на что это рассчитано. Ведь объективно невозможно содержать в достойном состоянии квартиру и весь дом, если цена аренды фиксирована и не покрывает текущие реалии.

PS: теперь жду когда осыпающийся дом причинит кому-то вред. А засудят за это город, т.к фиксированная аренда не позволяла содержать дом в достойном состоянии (читал о подобной истории в New York)