Свеженкий доклад с CCC о том как можно фродить на уровне региональнных билетов на поезд - Deutschlandticket.
Проблема такого масштаба и бардака, что у меня только одно слово напрашивается, которое знает мой итальянский приятель - "sukablyat "🤬.

Транспортные провайдеры готовы продавать и генерить билеты по формату. А как отвечать за билеты, которые они генерят, - никто не готов. Как итог - пачки фейковых билетов по скидкам продавались в интернете. Причём билеты не совсем фейковые и вполне спокойно валидируются контролёрами в транспорте. Просто за билеты при генерации никто никогда не платил. А на уровне выдачи билета такой шаг почему-то не проверялся. Есть еще теория о том что ключ для генерации билетов утёк.

Вообще респект таким рисёрчерам. Мне без паспорта дойчляндии было бы стремно вообще о подобном расказывать в интернетах. А они аж со сцены под запись этих умников окунули в "правду". А еще мне кажется что backend.mopla.solutions скорее всего имеет куда больше проблем. Осталось найти время для этих славных ребят которые так безответственно ведут бизнес 😎

Лучшее поздравление для немцев сделал банк Sparkasse в городке Gelsenkirchen. Теперь у держателей ячеек нет ни ячеек ни сбережений. Ограбили просто пробурив стену прямиком в хранилище 🙈

Комментарии пострадавших максимально отражают абсурд всей истории.
Оказывается грабить криптобиржи более накладно и опасно чем грабить банк физически. Грабители даже парковку оплатили 😁🙈

Пришло время смыть с лица остатки селедки под шубой и вернуть этому блогу былую славу 😎
Открываем этот год с простенького крита, который максимально быстро был триажнут. 🦾

PS: «Как Новый год встретишь, так его и проведешь». Надеюсь примета окажется рабочей.

Рисёрч о право-радикальных сообществах.
Исследовательница наковыряла пачку сайтов, которые объединяют в себе клуб любителей превосходства белой расы.

Натравила туда чат-ботов, чтобы пособирать профили участников сайтов, их предпочтения и всё, что может раскрыть их реальные личности. Собрала всех этих умников на собственном сайтике https://okstupid.lol/.

А в завершение доклада подрубилась на сервак, где хостились все сайтики, и запуском одного скрипта грохнула все админские учётки, бэкапы и сами сайтики 👏 По косвенным признакам админы сайтов игнорировали обновления WordPress 💁‍♂️
>> А вот и статейка на английском об этом исследовании.

Вероятность того, что американская компания с которой ты работал множество лет спросит тебя за «национальность», крайне мала, но никогда не равна нулю 💁🏻‍♂️

Давно интересно было узнать за что Youssef Sammouda (aka sam0) получил 312,500$ от Meta.
И вообщем-то он во всех деталях описал одну из самых дорогих client-side issue в истории bug bounty. Потому что буквально единицы платят за client-side такие реварды.
История прекрасна, т.к показывает важность out of scope находок. И умение связывать их в весьма серьезные проблемки 🙂
Приятного чтения: https://ysamm.com/uncategorized/2025/01/13/capig-xss.html

Копаясь в одном приложении, случайно обнаружил IDOR by design. Разработчик оставил сквозную нумерацию папок и последовательную нумерацию файлов с небольшим секретиком. Секретик я подглядел в js.
Ну и когда писал репорт то решил глянуть самый первый загруженный файл.

А там вот это 😁

Я может быть и the Best. Но теперь из бюджета придется вынуть 5к за IDOR с клиентскими данными💁🏻‍♂️

Интересное начало года получается для одного автомобильного бренда.

Ну и самое интересное — как отреагирует компания на такую находку в виде утечки базы не самых простых клиентов.

Если посты этого паблика перестанут выходить, то вы знайте, что у меня либо всё слишком хорошо, либо наоборот 😁
PS: Все совпадения с АвтоВАЗом случайны 💁‍♂️