Как Питерский интеренет-провайдер требует от своего абонента 2 с половиной миллиона за нахождение уязвимости.

Мораль: о уязвимостях стоит рассказывать только тем корпорациям и фирмам, которые их быстро и с благодарностью принимают, остальным не говорить вообще, по крайней мере без средств анонимизации и награду в последнем случае требовать на криптокошельки которыми планирушь не пользоваться несколько лет.
Ну и если выкладываешь информацию о уязвимости, то делать это только там где достигается реальная анонимность.

выложил файл wpad.conf с несуществующий проксей, чем и завалил хренову гору клиентов провайдера :)

ССЗБ.

И взападло прову, выложил файл wpad.conf с несуществующий проксей, чем и завалил хренову гору клиентов провайдера :)

Это злонамеренные действия.
Повлекшие экономический ущерб.
Судя по слову «взападло» - из хулиганских побуждений.

Но история поучительная. Прежде чем вот так «шутить» - стоит трижды подумать о том, насколько шуточными могут быть последствия.

Жалко парня.

Питерский интеренет-провайдер требует от своего абонента 2 с половиной миллиона в качестве компенсации ущерба, возникшего в результате умышленной эксплуатации уязвимости.

fixed

Где это написано?

То есть, он поломал работу собственного прова через дыру, о которой ранее этому же прову и сообщал, и теперь ещё выложил в интернет пост о том, как это сделал?

Это просто олень года.

Это просто олень года.

Это да, ну справедливости ради пров тоже олень, и юзеры прова тоже олени.

Вообще это дело чувака что выкладывать по http доступу на своём локалхосте, имхо тут должен быть виноваты сотрудники провайдера отправившие запрсы на непринадлежащий и неподконтрольный провайдеру хост.

Пров просто раздолбай. А герой истории - именно олень. Ну или ССЗБ, кому как больше нравится. А юзеры прова при чём вообще?

в качестве компенсации ущерба, возникшего в результате умышленной эксплуатации уязвимости.

Ню-ню.

Чуваку нужен хороший адвокат и не говорить «взападло провайдеру» на допросах. Хотя пост на Пикабу — это, конечно, огонь.

Как тут уже правильно заметили, это личное дело абонента, что выкладывать на своих локалхостах и по каким протоколам.

Вообще это его дело что выкладывать по http доступу на своём локалхосте

Не совсем.. Тут на лицо злонамеренные действия с целью наживы. Если бы он не звонил и не писал провайдеру про вознаграждение, то я бы согласился. А так он понимал, к чему это приведет..

Вообще, выглядит так, будто чувак осозннано нашёл дыру и попытался стрясти с прова бабосиков, а когда тот его предсказуемо послал - в отместку нагадил через эту самую дыру. Но то как он это всё сделал, настолько сказочно тупо, что я не удивлюсь, если у него на компе Kali Linux стоит.

Уже, наверное, не прокатит. Он связывался с провом и говорил о уязвимости, т.е. он знал, что это уязвимость, и заюзал её вполне осознанно.

Нет, цели получения наживы нет, есть цель остановить разрушающие оборудование чувака(роутер) запросы путём предоставления запрашиваемого файла с неприносящими другим людям вреда настройками(прокся ведущая вникуда).
То что по какойто причине это применилось ко всем клиентам провайдара имхо проблема провайдера, чувак о такой возможности не знал и цели положить провайдерскую сеть не ставил.

Написал письмо в саппорт, что он нашел уязвимость и поинтересовался насчет вознаграждения, ответа не получил...

Святая простота... Репортить об уязвимости провайдеру, и требовать с денег. В России. Ну вот на что он надеялся ? Ну не работает у нас вознаграждение за баги, тем более, у таких компаний. Сколько уже было историй, а люди ничему не учатся.

Регать себе домен у провайдера - это тоже какая-то особая форма слабоумия. Из той-же оперы что и почтовый домен.

Вообще, выглядит так, будто чувак осозннано нашёл дыру и попытался стрясти с прова бабосиков

Вот и я так же думаю! Но пля, запилить потом пост на пикабу, это верх идиотизма :))

Я_у_мамы_чёрношляпый.джпг

Регать себе домен у провайдера - это тоже какая-то особая форма слабоумия. Из той-же оперы что и почтовый домен.

Ну хз, оно как правило бесплатное, если есть белый ip. Для домашнего использования вполне норм.

Ну хз, оно как правило бесплатное.

Вот, пользуйтесь: http://www.freenom.com . Домены тут тоже бесплатные, и первого уровня. И не сгинут вместе со сменой провайдера.

Вот, пользуйтесь: http://www.freenom.com . Домены тут тоже бесплатные, и первого уровня. И не сгинут вместе со сменой провайдера.

Ну так то да..

и первого уровня.

Тьфу, второго уровня, конечно-же. Первого уровня, конечно, просто так не получить )))

Я дум что то, что он выложил wpad.conf на своём роутере м залепил пост на пикабу как раз указывает что у него небыло злого умысла.
Чувак обычный пользователь который случайно наткнулся на дыру так как эта дыра причиняла ему существенные проблемы и решил эту проблему традиционным для простых пользователей способом.

Я думаю чуваку надо упирать на то что провайдер отказался решать его проблему и он решил её сам доступными ему средствами, считая что сообщённые настройки будут касаться только его.

Вот, пользуйтесь: http://www.freenom.com

Десять лет интернета и лет семь лора, а про этот сервис я услышал впервые, вот прямо от тебя.

А юзеры прова при чём вообще?

Ну формально не при чем конечно, но юзать IE с включенным автоконфигом прокси, это маразм. Хотя с таким же успехом в олени можно записать и микрософт, который включил автоконфиг по умолчанию :))

Я думаю чуваку надо упирать на то что провайдер отказался решать его проблему и он решил её сам доступными ему средствами, считая что сообщённые настройки будут касаться только его.

Ты будь внимательнее, чувак отписал прову про уязвимость и поинтересовался вознаграждением, т.е. он уже знал, что произойдет! Отмаза не канает.. А далее злой умысел с целью наживы. Он же сам пишет про 100 запросов в сек файла с конфигурацией.

Ну, вот, теперь ты знаешь ) Если будешь настраивать домены\поддомены через их (тоже бесплатный) NS - то у меня после недавней войны РКН со здравым смыслом с телеграмом, поддомены настраиваются только через VPN

Ну и я не рекомендую ставить на эти домены реальные нагруженные проекты, т.к есть некоторый риск что при большой популярности сайта - домен отожмут и предложат его купить (в договоре вроде был на этот счёт пунктик).

Но для домашнего применения - данный сервис подходит отлично.

А вообще ведь в домене wpad.sknt.ru имя wpad как я прнимаю принадлежит клиенту, а значит wpad.conf как слкдует из его названия должен влиять только на этот домен, почему настройки из этого файла затронули не принадлежащие к домену wpad.sknt.ru компьютеры?
Или почему компьютеры других людей были включены в личный домен клиента wpad.sknt.ru ?

Потому что

Он не знал что именно произойдёт, просто домен wpad.sknt.ru должен настраиваться и контролироваться исключительно провайдером и пользователь его должен получать в готовом виде.
И строго новоря это не дыра, ни каких прав на что либо ещё от изменения настроек своего домена клиент провайдера получать не должен.
Но это опасная фича, так как локалхосты по умолчанию должны считаться заражёнными вирусами и троянами и эти трояны могут быть.использованы для вовлечения компьютера чувака в ddos атаку или позволят злоумышленнику действовать от имени домена чувака(wpad.sknt.ru) и соответственно от имени чувака.

И к стати да, чувак настраивал этим файлом свой домен wpad.sknt.ru, а не провайдерский sknt.ru.
Почему настройки более младшего домена применились к всем поддоменам *.sknt.ru и возможно к самому домену sknt.ru
Имхо это явно кривожопость провайдера.

Хоспади, ну хватит уже чушь пороть, серверу больно держать на себе такой бред

https://pikabu.ru/story/kak_piterskiy_interenetprovayder_trebuet_ot_svoego_ab...

Нельзя говорить об уязвимостях в некоторых государствах. Вообще. Вон в Турции был не так давно прецедент с картой для проезда. А дурачок в РФ решил что-то багрепортить. Тут кто-то свою работу плохо делает сидя на ЗП, а он стучит падла.

Это Венгрия была, не?

Вроде Турция. Хотя может и Венгрия. Или в Турции в то же самое время тоже что-то похожее было, потому что она мне чем-то тогда запомнилась.

Он не знал что именно произойдёт, просто домен wpad.sknt.ru должен настраиваться и контролироваться исключительно провайдером и пользователь его должен получать в готовом виде.

Весь прикол в том, что знал. Еще раз говорю, будь внимательней, он письмо прову отправил с описанием уязвимости и по телефону звонил. Если бы он не писал и не звонил, то я бы с тобой мог согласиться.

Имхо это явно кривожопость провайдера.

Спору нет, провайдер тупанул. Но если ты забыл закрыть дверь и тебя обокрали, вина все равно будет на ворах, не так ли ?

5. У провайдера разрывается телефон ни у кого из пользователей нет интернета, тех поддержка в ауте пытаясь справиться с потоком звонков и писем. Закономерно с топикстартером разрывают контракт и обращаются в прокуратуру. Убытки то есть.

Не соглашусь с этим пунктом. А какие именно убытки и как их считали ? Так то проблемы софта пользователей прова ну ни как не колышет. MAC видно на свитче, трафф идет - значит все ок, вызывайте специалиста за дополнительную плату..

И не у всех пользователей нет инета, а только у тех, кто ССЗБ и юзает в 21 веке IE...

Я посмотрел твою ссылку и понял что делает домен wpad,.
Так что можешь смотреть на мой пост как на пример того, как простой пользователь путём анализа понимает что ему надо.
Так что кнопочно-чекбоксовое мышление тоже сила, зря линусойды кнопки и чекбоксы принижают.

freenom.com
не сгинут

проржался

В Советской России ты платишь за нахождение уязвимости.

Ну хорошо.
Я верю что виндузятный пользователь мог придумать доменное имя wpad.
Название программы wordpad.exe к этому вполне подталкивает, особенно тупого виндузятника.
Но так же соглашусь что после твоей статьи обвал провайдера следует признать сознательным.
Но надо учесть два момента.
Провайдер полностью проигнорировал сообщение о уязвимости и не писал ответа с просьбой или требованием эту уязвимость раскрыть без вознаграждения.
То есть вообще не писал ответа.
Дальнейший поступок чувака я понимаю как попытку наказать провайдера но не за отказ платить вознаграждкние, а за отказ проявлять интерес к уязвимости вообще, то есть наказать за плохое выполнение своих провайдерских обязанностей.
В этом отношении я сочуствую ТС и в случае игнорирования своего обращения мог бы поступить так же как он.
Но мог бы, сейчас я если и буду сообщать провайдеру о уязвимости, то только через средства анонимизации.
Ну и в случае игнорирования такой информации буду просто постить информацию о уязвимости в даркнет, а там уже кулхацкеры провайдеру натурально объяснят свою ошибку.

Думаю что и другие рассерженные потребители уже пришли к такому же выводу и будут поступать соответствующим образом, возмржно даже сразу, без обращения к провайдеру с сообщеним о уязвимости.

По этому провайдеру лучше отозвать своё заявление и извинится перед чуваком, а то если у них такие гении администрирования работают то следующий багрепорт в даркнете может превести к намного большим убыткам чем 2.5 миллиона руб, потому что было бы еслиб мошенники реально перехватили и проксировали трафик, обокрав клиентов на кучу еомеров кредитных карт, паролей и прочего, а потом бы выяснилось что это произошло по вине провайдера?

это личное дело абонента, что выкладывать на своих локалхостах и по каким протоколам

Суть в том, что чувак заставил чужие компьютеры работать не так, как они должны были работать. Как технически он этого добился - абсолютно не важно.

Ну, если для дома использовать, то получше будет чем у провайдера. Хотя-бы потому что там есть худо-бедно рабочий NS позволяющий там-же в два клика создавать поддомены третьего уровня на любой IP'шник. А ещё данные в Whois скрыты, что тоже хорошо.

Я здесь живу! Не, ну это [много мата].

Спасибо.

Расторгаю договор и перехожу к другому провайдеру.

потом бы выяснилось что это произошло по вине провайдера

Дядя, ты совсем дурак? Раздолбайство прова - это его внутренние проблемы и с покушениями на преступление никак не связано. Это как если б ты оставил где-нибудь сумку без присмотра и её бы стырили, а виноват был бы ты, ибо лох и не смотрел за вещами.

Бывало и хуже (история с реддита про plaintext в протоколах банковской системы Финляндии, доблестной нацбезопасности и "если кто-то это проэксплуатирует, то виноват по-любому ты).

Безхозные вещи принадлежат нашедшему.
И потом, пров может быть сколько угодно прав, но что он будет делать если рассерженные люди будут слать багрепорты хакерам, а не сапорту провайдера?
Как его возможная правота это исправит?
Никак.
Если пров думает о будущем то он должен отозвать заявление, сам погасить убытки и извиниться за беспокойство.

Подробности тут: https://pikabu.ru/story/kak_piterskiy_interenetprovayder_trebuet_ot_svoego_ab...

не открывается этот говносайт с проксиков)

Поддомены третьего уровня можно создавать бесплатно много где. А на бесплатных зонах у фринома такие требования, что проще раз в год 10 баксов заплатить, чем офигевать что домен ни с того, ни с сего в очередной раз отняли.

Раздолбайство прова - это его внутренние проблемы и с покушениями на преступление никак не связано.

Вообще это интересный вопрос, обязан ли пров обеспечивать приватность трафика?
А то ведь такая ситуация напоминает следующее: почтальон не запирал служебное помещение почты, ездил в автобусе с незакрытой сумкой, не обращал внимание на ходящих по служебным помещениям посторонних лиц, игнорировал когда в его незакрытую сумку залезали пасажиры автобуса и читали письма.
Мне кажется что если что, то такой почтальйон будет как минимум уволен за служкбное не соответствие, если не будет призван к ответственности наравне с преступниками.

А првайдер ведь у нас то «оператор связи».

Но история поучительная. Прежде чем вот так «шутить» - стоит трижды подумать о том, насколько шуточными могут быть последствия.

Вначале провайдер ему испакостил интернет и не чесался.

Но мне что-то с трудом верится, что он чисто случайно назвал свой поддомен wpad и даже ничего не знал.

В любом случае, рассказывать кому-то об уязвимости не лучшая идея была.

Но провайдер все же жадный до безобразия. 2 ляма за простой интернета сколько там? Часа два лежал и накапало на такую сумму, не верю.