Не так давно я рассказывал как похекал хакеров, и потом это вылилось в целый доклад от n26 банка на конференции.
Но тут похек "хакеров" вышел на новый уровень.
Полагаю что "сотрудникам сбербанка" на шконке было предложено сходить по ссылкам и что-то ввести. Из-за чего всё награбленно пропало. А дальше подгорело одно место 🔞
Весьма смело конечно исполнять такое... Надеюсь победителей/робингудов не судят.
Но тут похек "хакеров" вышел на новый уровень.
Полагаю что "сотрудникам сбербанка" на шконке было предложено сходить по ссылкам и что-то ввести. Из-за чего всё награбленно пропало. А дальше подгорело одно место 🔞
Весьма смело конечно исполнять такое... Надеюсь победителей/робингудов не судят.
🔥20😁7🤔7
Минутка полезности. Ну и попытка сохранить то, что возможно сам потом буду искать у себя же в канале.
И так, если конторка по которой вы ищите баги в меру крупная, то стоит попробовать посмотреть apex домены через Microsoft 365 и Microsoft Defender for Identity instance.
Таким образом через скриптец в репозитории очень часто можно выцепить весьма редкие домены.
https://github.com/expl0itabl3/check_mdi
И так, если конторка по которой вы ищите баги в меру крупная, то стоит попробовать посмотреть apex домены через Microsoft 365 и Microsoft Defender for Identity instance.
Таким образом через скриптец в репозитории очень часто можно выцепить весьма редкие домены.
https://github.com/expl0itabl3/check_mdi
🔥26
Чувак, который делал какие-то унылые видосики по майнкрафту, внезапно сделал неплохую серию роликов про ребят которые плевали на 272, на мораль и вообще на здравый смысл.
Классно собраны факты истории Arion Kurta из Lapsus$, который прославлился похеком Uber и удивил всех багхантеров Hackerone, ну и до кучи хекнул Rockstar и слил реальные файлы GTA 6, которая на тот момент только готовилась к рекламным релизам.
Там же на канале лежат не менее интересные ролики про Mt. Gox похек и глупости которые вытворяли ребята из Lizard Squad просто ради лайков в твиттере.
Классно собраны факты истории Arion Kurta из Lapsus$, который прославлился похеком Uber и удивил всех багхантеров Hackerone, ну и до кучи хекнул Rockstar и слил реальные файлы GTA 6, которая на тот момент только готовилась к рекламным релизам.
Там же на канале лежат не менее интересные ролики про Mt. Gox похек и глупости которые вытворяли ребята из Lizard Squad просто ради лайков в твиттере.
👍8❤1
Кажется никто из читателей не ждал что подобная новость случится так скоро 🤖
Но есть определенные доказательства того, что один из багхантеров смог прицепить AI для майнинга багов в багабаунти. Как итог - 4к реварда от Apple Security.
Вероятно что товарищ сделал связку с openinterpreter и теперь вынимает какие-то не очень сложные баги. По крайне мере размер выплаты говорит о том что бага не супер критичная.
Ну, а тут очередной пруф как он балуется со своей aiko. 👏
....
Позабыты хлопоты, остановлен бег,
Вкалывают роботы, а не человек! 🤖
Но есть определенные доказательства того, что один из багхантеров смог прицепить AI для майнинга багов в багабаунти. Как итог - 4к реварда от Apple Security.
Вероятно что товарищ сделал связку с openinterpreter и теперь вынимает какие-то не очень сложные баги. По крайне мере размер выплаты говорит о том что бага не супер критичная.
Ну, а тут очередной пруф как он балуется со своей aiko. 👏
....
Позабыты хлопоты, остановлен бег,
Вкалывают роботы, а не человек! 🤖
🔥18🤔5👍1
Мой 15ый айфон старательно напоминает мне о важности использовать apple vision pro при съемке видео. Хотя его у меня нет. В настройках уже тоже привезли важные пункты меню.
Однако после обзоров на этот девайс, единственной причиной купить такое за 3500$ - это по исследовать само устройство и принципы взаимодействия. Ну, а потом попытаться «вернуть деньги» через vulnerability report и возможно уйти в небольшой плюс.
Спасибо “The Verge” за отличный обзор.
https://youtu.be/hdwaWxY11jQ?si=MaxOUzj-KjIUgfqG
Однако после обзоров на этот девайс, единственной причиной купить такое за 3500$ - это по исследовать само устройство и принципы взаимодействия. Ну, а потом попытаться «вернуть деньги» через vulnerability report и возможно уйти в небольшой плюс.
Спасибо “The Verge” за отличный обзор.
https://youtu.be/hdwaWxY11jQ?si=MaxOUzj-KjIUgfqG
YouTube
Apple Vision Pro review: magic, until it’s not
Apple’s long-awaited entry into the world of computers you wear on your face is here. Apple claims that the Vision Pro, a VR headset that starts at $3,499, is the beginning of something called “spatial computing,” which basically boils down to running apps…
👏6❤1
«I will share four of my “best” bug bounty findings…»
Стоп, а куда еще два bug bounty репорта потерялось?! 🤔 Может я про все 6 знать хочу…
И ведь серьезная конференция…
Стоп, а куда еще два bug bounty репорта потерялось?! 🤔 Может я про все 6 знать хочу…
И ведь серьезная конференция…
😁9🤔1
Неделя пролетела как один день. Бюджет поездки тоже куда-то улетел 🙈. Но в целом что можно было ожидать, если только на скипасы ушло около 900 евро. Итоговый бюджет поездки встал в 2600(тут абсолютно все расходы). Предпочту думать что это не мои деньги, а реварды которые долетели за последние пару недель 😁.
Спасибо богу кавычек за это 🙏🏻
Спасибо богу кавычек за это 🙏🏻
🔥30👍10
Не подумайте что я тут как бабка на лавке, которая вспоминает молодость и думает - а вот тогда было лучше. Но на фоне вчерашнего анонса openAI Sora - возникло очень много мыслей, которыми хочется поделиться. И они вообще не про восторг перед технологиями.
Не секрет что через deep fake атаки, злоумышленники начали похищать крупные суммы денег. В условиях удаленной работы, это как никогда просто стало делать. CERT германии даже целый раздел сайта этому посвятил. И вот теперь, порог входа для генерации подобных видео станет еще ниже. А процедур позволяющих ограничивать использование такой технологии по просту нет. И уже завтра вашей маме скинут видео как "вы" сидите в камере, и просите прислать денег чтоб вас отпустили.
Еще происходит явно обесцениваение индустрии кино. Вероятно в целях экономии бюджета фильмов, и в целях извлечения большей прибыли, начнется повсеместное использование AI generated видео. И пропадает душа в том, что было снято. За картинкой не будет огромной работы операторов дронов, каскадеров, режисёра и множества дублей актеров. А еще это явно может сказаться на технологическом прогрессе в области кинематографа. Зачем покупать дрон или стабилизатор если можно собрать кадры через ai. Зачем вообще брать дорогую камеру Arri или Red. И индустрия производства такой техники тоже почувствует на себе спад. И в результате меньше инвестиций в разработку инструментов для съемки.
Кароч, у меня не вызывает восхищеня все происходящее. Только огромное опасение и чувство, что скоро фильм Surrogates, перестанет быть фильмом. Что думаете?
Не секрет что через deep fake атаки, злоумышленники начали похищать крупные суммы денег. В условиях удаленной работы, это как никогда просто стало делать. CERT германии даже целый раздел сайта этому посвятил. И вот теперь, порог входа для генерации подобных видео станет еще ниже. А процедур позволяющих ограничивать использование такой технологии по просту нет. И уже завтра вашей маме скинут видео как "вы" сидите в камере, и просите прислать денег чтоб вас отпустили.
Еще происходит явно обесцениваение индустрии кино. Вероятно в целях экономии бюджета фильмов, и в целях извлечения большей прибыли, начнется повсеместное использование AI generated видео. И пропадает душа в том, что было снято. За картинкой не будет огромной работы операторов дронов, каскадеров, режисёра и множества дублей актеров. А еще это явно может сказаться на технологическом прогрессе в области кинематографа. Зачем покупать дрон или стабилизатор если можно собрать кадры через ai. Зачем вообще брать дорогую камеру Arri или Red. И индустрия производства такой техники тоже почувствует на себе спад. И в результате меньше инвестиций в разработку инструментов для съемки.
Кароч, у меня не вызывает восхищеня все происходящее. Только огромное опасение и чувство, что скоро фильм Surrogates, перестанет быть фильмом. Что думаете?
😢15👍7🤔4🙏1
Дивный вечерочек получился. Закрыл "мечту" о том что когда-нибудь хакну пентагон(буквально). И вот только что получилось. Скрин как раз с портала, который не устоял.
Радует что благодаря Hackerone, подобные действия расценивают исключительно положительно.
И кстати если раньше я стороной обходил VDP и не отправлял бесплатные vulnerability репорты. То в этом году я подумал что хочу в свой список достижений какие-то очень серьзеные организации.
А еще DoD VDP team меня даже приятно порадовали сообщением - "...you have been selected as our Researcher of the Month..." 😎
Значит ли это что-то из области "за тобой выехали" ? 🤔
Радует что благодаря Hackerone, подобные действия расценивают исключительно положительно.
И кстати если раньше я стороной обходил VDP и не отправлял бесплатные vulnerability репорты. То в этом году я подумал что хочу в свой список достижений какие-то очень серьзеные организации.
А еще DoD VDP team меня даже приятно порадовали сообщением - "...you have been selected as our Researcher of the Month..." 😎
Значит ли это что-то из области "за тобой выехали" ? 🤔
🔥62👍8😁7🤔2❤1👏1🤯1
Не доглядели ребята из NASA за своими конфиденциальными данными. Как итог - пришлось исправлять Critical(P1) репорт и генерить грамоту рисёрчеру.
Только вот мне не нравится что там не полное имя написано, а просто krevetk0.
Придется им второй critical репорт унести, и попросить чтоб полное имя писали 😁
Только вот мне не нравится что там не полное имя написано, а просто krevetk0.
Придется им второй critical репорт унести, и попросить чтоб полное имя писали 😁
🔥44👍12😁10👏2❤1
Удалось побывать в конце недели на Nullcon Berlin. Попутно поучаствовал в live hacking event от intigriti. Т.к билет на конфу был взят за собственные деньги, то было дикое желание отбить затраты хотя бы через ивент. По итогу накавычкал до 5ого места в ивенте и отбил билет, оставшись в небольшом плюсике :)
Скоуп был не простой. Пара доменов с вайлдкардами. Мусорных багов там не было замечено. Это и по лидеру ивента видно. На первый день результаты были не восхитительные и на второй день добавили новый скоуп. Вот тут я и собрал свой кэш.
Попутно кстати показал на своём репорте несправедливость оценки триажеров с точки зрения критичности. Inti принял мою позицию, почитал customers policy у h1 и обещал исправить этот недочет на своей платформе. И это круто когда пожелания можно выразить вот так сразу :)
Конференция была классная. Доклады во второй день были вообще офигенскими и я с трудом совмещал приятное с полезным.
Скоуп был не простой. Пара доменов с вайлдкардами. Мусорных багов там не было замечено. Это и по лидеру ивента видно. На первый день результаты были не восхитительные и на второй день добавили новый скоуп. Вот тут я и собрал свой кэш.
Попутно кстати показал на своём репорте несправедливость оценки триажеров с точки зрения критичности. Inti принял мою позицию, почитал customers policy у h1 и обещал исправить этот недочет на своей платформе. И это круто когда пожелания можно выразить вот так сразу :)
Конференция была классная. Доклады во второй день были вообще офигенскими и я с трудом совмещал приятное с полезным.
🔥39👍13❤1👏1