С целью повышения качества программного обеспечения сайта мы начинаем "Security Rewards Program".
На первом этапе нас интересует неавторизованный доступ к аккаунту на grouple.co, остальные сайты пока не рассматриваем.
Для экспериментов можно использовать аккаунт bug.bounty. К нему привязана учетная запись VK, в качестве пароля задана 20-ти символьная последовательность символов, при входе была использована опция "Запомнить меня". Пользователь открывает и просматривает чаты ежедневно. Простой фишинг - не спортивно =)
Если вы смогли получить доступ к аккаунту, пишите об этом на email, указанный в настройках этого самого аккаунта.
Как доказательство прошу прикладывать скриншот списка чатов из этого аккаунта.
Вознаграждение будет выплачиваться после демонстрации используемой уязвимости. При нахождении одинаковых уязвимостей деньги получает первый нашедший.
Начинаем с 250$.
PS
Прошу быть вежливыми и не осуществлять деструктивных действий.
PPS
При нахождении более серьезных уязвимостей прошу писать мне лично.
UPDATE:
Первое вознаграждение получает Мураш, за нахождение варианта подмены пользователя указанием email в поле имя пользователя. Уязвимость закрыта. Существовала с 2013 года
UPDATE 17/12/2020:
Возможность повторного увода аккаунта через старые ссылки для восстановления закрыта. Нашедший получил половину вознаграждения.
Комментарии (1)
17:44 23.11.20