У меня есть история как я мог бесплатно кататься на такси или получить 40.000€.
Мы с другом плотно изучали рынок такси убер в году так, 2017-2018. Поняли, что можно заработать на этом деле, путём регистрацией новых аккаунтов и применением промокода (Для маленьких городов стоимость поездки могла составить 0). Сделали телеграм бота, с автосозданием аккаунтов и созданием поездки. Все работало через систему запросов.
После успешного старта, мы начали по «приколу» менять исходящие и входящие запросов, ну например, что вместо Рио приедет Роллс-Ройс. А потом заметили исходящий запрос на тип оплаты Apple pay. У данного типа оплаты был свой идентификатор и вместо стандартного мы вписали туда «123». Мы думали, что приложение не даст вызвать такси с таким идентификатором, но оно вызвало. И водитель даже сам подтвердил, что все окей, оплата прошла (Мы ему отдали наличкой всю сумму поездки «как чай»).
Поняли, что это очень сильная уязвимость, начали тестировать в других агрегаторах и совершенно во всех работал этот способ. Мы нашли бесплатный способ ездить на такси.
Начали читать, касаемо выплат за данную уязвимость, и самая высокая была у Wheely - 40.000€.
Покатались мы так два раза на Wheely, и начали оформлять заявку на нахождение уязвимости. Заполнили, написали, каким образом можно от этой уязвимости уйти. Стали ожидать ответа. Ответа не поступало более двух недель, а потом оказалось, что проблему они исправили :)
К чему я это все… Wheely - 40.000€ за нахождение уязвимости в системе платежей. Яндекс - 15.000 рублей :D
p.s. На всякий случай - история выдуманная, товарищ майор…
У меня есть история как я мог бесплатно кататься на такси или получить 40.000€.
Мы с другом плотно изучали рынок такси убер в году так, 2017-2018. Поняли, что можно заработать на этом деле, путём регистрацией новых аккаунтов и применением промокода (Для маленьких городов стоимость поездки могла составить 0). Сделали телеграм бота, с автосозданием аккаунтов и созданием поездки. Все работало через систему запросов.
После успешного старта, мы начали по «приколу» менять исходящие и входящие запросов, ну например, что вместо Рио приедет Роллс-Ройс. А потом заметили исходящий запрос на тип оплаты Apple pay. У данного типа оплаты был свой идентификатор и вместо стандартного мы вписали туда «123». Мы думали, что приложение не даст вызвать такси с таким идентификатором, но оно вызвало. И водитель даже сам подтвердил, что все окей, оплата прошла (Мы ему отдали наличкой всю сумму поездки «как чай»).
Поняли, что это очень сильная уязвимость, начали тестировать в других агрегаторах и совершенно во всех работал этот способ. Мы нашли бесплатный способ ездить на такси.
Начали читать, касаемо выплат за данную уязвимость, и самая высокая была у Wheely - 40.000€.
Покатались мы так два раза на Wheely, и начали оформлять заявку на нахождение уязвимости. Заполнили, написали, каким образом можно от этой уязвимости уйти. Стали ожидать ответа. Ответа не поступало более двух недель, а потом оказалось, что проблему они исправили :)
К чему я это все…
Wheely - 40.000€ за нахождение уязвимости в системе платежей.
Яндекс - 15.000 рублей :D
p.s. На всякий случай - история выдуманная, товарищ майор…