Вымогатели баунти - Shareware и бизнес

Пишет некто Ахмед, что нашел на сайте уязвимость, связанную с iframe-s и просит баунти 200 баксов за его скромный труд.
Подробно описывает уязвимость и как ее зафиксить.

Вроде бы норм. Но у меня на сайте нигде не написано, что я выдаю вознаграждения за поиск уязвимостей. Я не гугл.

Платить не хочу. Услугу не заказывал. Посылать его тоже не хочу, вдруг начнет эксплуатировать другие уязвимости. Остается игнорить. Так этот тип пишет раз в неделю "как там с моим найденным багом, скоро ли я получу награду?".

Здравствуйте, c3p0, Вы писали:

C>Пишет некто Ахмед, что нашел на сайте уязвимость, связанную с iframe-s и просит баунти 200 баксов за его скромный труд.
C>Подробно описывает уязвимость и как ее зафиксить.

У них какой-то скрипт, которым они проходят по всем сайтам и рассылают такой спам.
Iframe hijacking или как-то так.

Ещё обращались, показывали, что можно узнать, зарегистрирован ли e-mail в базе или нет (различаются ответы на логин: "пароль не верен" и "юзера нет в системе").

Больше они ничего не найдут и не проэксплуатируют.

Разгадка проста: труд пакистанцев дешев. Один хитрожадный индус запускает скрипт, и нанимает 10 пакистанцев снимать детальное видео об уязвимости, чтобы показать, что проделана большая работа. Далее массовая рассылка. Конверсия 1% уже окупает всё.

Они мне надоели писать с такой ерундой. Одному вежливо сказал, что мы стартап, денег нет, он всё равно пишет, уговаривает. Начали игнорировать — начал писать по 10 писем в день (дублирует). Добавили в спам. Пока тишина до следующего буйнопомешанного.

C>Пишет некто Ахмед, что нашел на сайте уязвимость, связанную с iframe-s и просит баунти 200 баксов за его скромный труд.
C>Подробно описывает уязвимость и как ее зафиксить.

Предложи ему 100 или 50
А уязвимость пофиксь
Чего негативить то

Здравствуйте, TailWind, Вы писали:

C>>Пишет некто Ахмед, что нашел на сайте уязвимость, связанную с iframe-s и просит баунти 200 баксов за его скромный труд.
C>>Подробно описывает уязвимость и как ее зафиксить.

TW>Предложи ему 100 или 50

Дайте ему купон на 10% офф. Соответсвие примерно 1:1 с его затратами.

Деньгами ни в коем случае нельзя. Прецендент создает. Тут же набегут другие рыболовы.

Здравствуйте, c3p0, Вы писали:

C>Вроде бы норм. Но у меня на сайте нигде не написано, что я выдаю вознаграждения за поиск уязвимостей. Я не гугл.

Игнорьте и всё. Пофиксите потом когда он отсохнет. Или поставьте его почтовый адрес на отлуп на почтовом сервере.

Ничего он не находил. Взял список доменов и прогнал готовым сканнером, скорее всего и "письма счастья" автоматизировал.

Здравствуйте, c3p0, Вы писали:

C>Пишет некто Ахмед, что нашел на сайте уязвимость, связанную с iframe-s и просит баунти 200 баксов за его скромный труд.

Ага мне тоже очередной Моххамед писал что у вас в DNS записи нету CAA: A Certification Authority Authorization (CAA) record is used to specify which certificate authorities (CAs) are allowed to issue certificates for a domain.

И тоже просил денег. Ну просто офигеть какая уязвимость, это пишут даже не люди, а скрипты => в игнор. Ну или исправить, а потом в игнор.

Здравствуйте, c3p0, Вы писали:

C>Пишет некто Ахмед, что нашел на сайте уязвимость

мне тоже писал, когда я хостера менял и изменил DMARC на Softfail

даже несколько Ахмедов написали какая это страшная уязвимость

Здравствуйте, c3p0, Вы писали:

C>Пишет некто Ахмед, что нашел на сайте уязвимость, связанную с iframe-s и просит баунти 200 баксов за его скромный труд.
C>Подробно описывает уязвимость и как ее зафиксить.

C>Вроде бы норм. Но у меня на сайте нигде не написано, что я выдаю вознаграждения за поиск уязвимостей. Я не гугл.

C>Платить не хочу. Услугу не заказывал. Посылать его тоже не хочу, вдруг начнет эксплуатировать другие уязвимости. Остается игнорить. Так этот тип пишет раз в неделю "как там с моим найденным багом, скоро ли я получу награду?".

Мне тоже писали, что якобы нашли уязвимость. И даже типа видео сделали. Ничего они не нашли. Еще пару раз напоминали какие они хорошие и ждут денег. Спамеры.

Здравствуйте, c3p0, Вы писали:

C>Пишет некто Ахмед, что нашел на сайте уязвимость, связанную с iframe-s и просит баунти 200 баксов за его скромный труд.
C>Подробно описывает уязвимость и как ее зафиксить.

C>Вроде бы норм. Но у меня на сайте нигде не написано, что я выдаю вознаграждения за поиск уязвимостей. Я не гугл.

C>Платить не хочу. Услугу не заказывал. Посылать его тоже не хочу, вдруг начнет эксплуатировать другие уязвимости. Остается игнорить. Так этот тип пишет раз в неделю "как там с моим найденным багом, скоро ли я получу награду?".

Эти "хакеры" через день пишут, либо что все расскажут после оплаты, либо присылают какую то ерунду которую сами даже не проверили.
Мои сайты пару лет назад DDOS-или и с тех пор я сам всеми сканерами все проверяю и стараюсь все делать безопасно.

	От:	c3p0
	Дата:	26.05.23 13:37
	Оценка:

	От:	sharez
	Дата:	26.05.23 13:52
	Оценка:

	От:	TailWind
	Дата:	26.05.23 14:58
	Оценка:

	От:	wantus
	Дата:	26.05.23 15:25
	Оценка:	+1

	От:	Aquilaware
	Дата:	26.05.23 18:55
	Оценка:	+1

От:	Черный 😈 Властелин	https://www.softperfect.com
Дата:	27.05.23 04:43
Оценка:	7 (1)

	От:	rp5
	Дата:	29.05.23 14:53
	Оценка:

	От:	_synapse_
	Дата:	30.05.23 10:10
	Оценка: