15-летний разработчик рассказал, что нашёл ошибку в сервисе Zendesk, которая позволяла хакерам просматривать тикеты службы поддержки клиентов сервиса. При этом, как утверждает разработчик, представители Zendesk дважды отказались выплачивать вознаграждение.
Для доступа к чужим тикетам надо было отправить специально созданное письмо на электронный адрес службы поддержки, которая работает с помощью Zendesk. Оказалось, что у сервиса не было системы защиты от подмены электронной почты. Таким образом злоумышленники могли получить доступ к тикетам любой компании, которая пользуется услугами Zendesk. Под угрозой оказалась почти половина списка Fortune 500.
Разработчик сообщил об ошибке через программу HackerOne, но представители компании сообщили ему, что уязвимость не входит в действие программы, поэтому её не будут исправлять. Также ему отказали в выплате вознаграждения.
Юный разработчик решил, что будет рассказывать об ошибке напрямую клиентам Zendesk, чтобы они могли отключить обезопасить себя. За сообщение об уязвимости ему выплачивали денежное вознаграждение, и суммарно он заработал более 50 тыс. долларов. После этого с разработчиком связались представители Zendesk и попросили больше не рассказывать никому про уязвимость.
В июле 2024 года инженеры Zendesk исправили ошибку, а разработчик снова обратился с просьбой выплатить ему вознаграждение. Компания снова отказала ему, но в этот раз сослалась на факт того, что он рассказал про уязвимость третьим лицам, а это — нарушение программы поиска ошибок.
ссылка на оригинал статьи https://habr.com/ru/articles/851226/
Добавить комментарий