Рубрика «fail»

Здравствуйте. Казалось бы, в современном мире есть довольно очевидные (даже для среднестатистического человека не связанного напрямую с IT) понятия. Например, что хранить пароли плейнтекстом в txt на рабочем столе — это плохо. Но, хостинг ukraine, к сожалению, понял это только в январе 2020. Ссылку не оставляю, дабы не нарушать правила, но гуглится быстро. А что же с другими провайдерами? Например, с интернет-провайдерами. Я решил провести небольшой эксперимент, и поделиться им с вами. Скажу сразу: у меня не было никакого злого умысла, как и не было цели навредить кому-либо. Зато есть цель донести до людей что стоит более ответственно относиться к пользовательским данным и личным кабинетам, в особенности, если в них есть возможность беспрепятственно менять настройки. Возможно, если эту ситуацию придать огласке что-то изменится. А может и нет. Кто знает… Я все же попробую.
Читать полностью »

Церемонию подписания ключей Интернета DNSSEC отложили: не могут открыть один из сейфов с материалами для церемонии - 1

Сороковая церемония Root KSK Ceremony, назначенная на 12 февраля 2020 года, была в последний момент отложена до субботы 15 февраля из-за того, что представители Администрации адресного пространства Интернета (Internet Assigned Numbers Authority, IANA) не смогли в нужное время открыть один из сейфов из-за сбоя в работе его замкового механизма. Внутри этого закрытого сейфа хранятся материалы для церемонии подписания криптографической пары (открытый и закрытый ключи) — ключа для подписания ключей корневой зоны (KSK).
Читать полностью »

Привет. Я тот, кто полгода назад получил логины и пароли Киевстара от таких важных сервисов, как: JIRA, Amazon Web Services, Apple Developer, Google Developer, Bitbucket и многих других, зарепортил их по Bug Bounty и получил 50 долларов различные комментарии к репостам моей публикации.

Например:

Спасибо вам за поддержку и комментарии! Итоги голосования:

Уязвимости Киевстара: 1) разбор предыдущего поста про пароли + 2) инфо о покупках, проходящих через сервисы Киевстара - 1
Читать полностью »

История о совпадении, везении и вознаграждении.

Два года назад пользователь dinikin написал пост, как он нашёл уязвимость в личном кабинете крупнейшего мобильного оператора Украины — Киевстар. Уязвимость позволяла добавлять к себе в аккаунт без верификации любой номер телефона Киевстар и полностью управлять им:

  • просматривать баланс и детализацию звонков;
  • просматривать PUK-код и серийный номер SIM-карты, что позволяет самостоятельно заменить SIM-карту;
  • добавлять новые услуги и менять тарифный план;
  • и самое главное — переводить деньги с телефона на телефон.

Уязвимость была закрыта, а автору в благодарность выплатили огромную премию подключили 4000 мегабайт интернета на 3 месяца.

Добавляем произвольный телефон в личном кабинете оператора мобильной связи Киевстар (Украина)

Позже хабрапользователь rewiaca в своём посте "Почему в Украине нет белых хакеров или история взлома Киевстар" описал ситуацию со столь щедрой наградой более эмоционально.

В комментариях тогда отметился Виталий Султан, Soultan, Chief Digital Officer Киевстар, пообещав вскоре запустить в компании Bug Bounty.

И вот, спустя почти два года, Киевстар анонсирует запуск собственной программы Bug Bounty. Одной из первых фраз в анонсе была следующая:

В «Киевстаре» отметили, что приняли решение запустить программу после того, как нашли уязвимость во время бета-тестирования обновленной системы «Мой Киевстар».

Как видим, компания лукавит, ведь именно пользователь Habrahabr.ru dinikin нашёл уязвимость в системе «Мой Киевстар».
Читать полностью »

Рассказывать о новых проектах это, конечно, хорошо, но не всегда всё получается, как мы хотим. В общем, начали тут вспоминать факапы из прошлого, когда решение одной проблемы прибавляло новых, увлеклись и решили поделиться парочкой. Как забанить невиновных игроков, заддосить собственные сервера, ошибиться в одной букве и словить тонны негатива от пользователей — вот это всё, как мы любим.

Как мы перебанили обычных игроков и заDDoSили свои сервера: практическое руководство - 1
Читать полностью »

Команда Hemlis объявила о закрытии проекта - 1

2 года назад на Хабре появился радужный пост о том, как скоро будет запущен первый полностью защищенный мессенджер от создателей пиратской бухты. Прошло время, вышел Telegram, Whatsapp обзавёлся шифрованием, а Hemlis так и не появился в онлайн-магазинах для мобильных платформ. Разработчики по началу исправно кормили завтраками в твиттере, переодически выкладывали отчёты в своём блоге, и тратили пожертвования на сумму $100 000, собранные в первые 36 часов.
Читать полностью »

В данной статье на примере одного неудачного кейса рассмотрим, как отличные навыки дизайн-мышления и креатива, использование ярких идей в совокупности с методологией user-centered design применялись при проектировании зарубежного элитного интернет-магазина алкогольной продукции. В статье будет не просто описываться все случившееся как неизбежность, но и будет проведена попытка проведения «работы над ошибками».
image
Читать полностью »

Что делать, если после апгрейда или инсталляции APEX вместо стартовой страницы браузер показывает сообщение об ошибке или пустую белую страницу? В данной статье собраны наиболее частые причины и методы решения подобных проблем.

Читать полностью »

Все закончилось Pivot-ом. Но первоначальную идею мы зафейлили.

Fail story проекта SaaS Helpdesk для малого бизнеса Pivot — это этап жизни стартапа, при котором в результате переосмысления полученного опыта происходит изменение бизнес-модели. Степень этого изменения может быть разной. Но большинство экспертов по широкому кругу вопросов сходятся во мнении, что успешных стартапов, не сделавших Pivot, не бывает.

Наш проект ITSM365, пройдя переосмысление и поменяв позиционирование, смог выйти на положительные финансовые показатели, достаточные для развития без привлечения инвестиционных денег. Это ещё не супер успех, но уже повод для того, чтобы поделиться своим опытом. И своими неудачами.
Этим и займемся под катом.
Читать полностью »

Как мы не заработали миллион на приложении для iPhone
Эта статья о самых главных ошибках четырех backend разработчиков, которые решили заработать денег на приложении для iPhone не имея никакого опыта в разработке мобильных приложений и тем более их продвижении.

Все началось с того, что чуть более года назад мы собрались и решили написать небольшое, но полезное приложение. Небольшое, потому что опыта не было, а затягивать выпуск на неопределенный срок не хотелось. Полезное, чтоб каждый из нас хотел им пользоваться. Работать над приложением мы решили в свободное время. В результате долгих споров у нас появилась идея, которая устраивала всех.

Ошибка #1 — Идея

Не удосужившись провести тщательный анализ рынка мы решили написать приложение для составления списка покупок. Отличительной чертой должна была стать умная сортировка с возможностью быстрого составления списка и красивый дизайн. Но, как оказалось, этого было недостаточно, чтобы покорить рынок, который и так был переполнен похожими приложениями.

Вывод: в следующий раз сначала очень серьезный анализ рынка, потом поиск людей готовых купить идею, и только потом продукт.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js