300 000 руб и плюшки за простейшую накрутку

в 13:31, , рубрики: информационная безопасность, конкурс красоты, конкурсы, метки: ,

300 000 руб и плюшки за простейшую накрутку
Лет 5 назад я бы такое не публиковал, а сам пользовался возможностью. Но, видимо, теперь желание справедливости выше желания заработать.
Цели поста:
1) указать на то на сколько важно ответственно относиться защите от накрутки голосов. Особенно если основная суть сайта — голосоваения.
2) Достучаться до тех кто отвечает за голосования на сайте missrussia.ru или показать реальную картину их спонсорам, чтоб они достучались.

Сайт о котором пойдет речь, наверно самый популярный российский сайт с конкурсом красоты и реальными призами — missrussia.ru.
В за год накручивая на нем голоса по моим подсчетам можно накрутить примерно на $60 000

Предыстория

Так случилось что, ко мне обратился один знакомый, с словами «ты ж программист, помоги накрутить голоса на сайте», и дал ссылку на отборочный тур missrussia.ru мне стало интересно, глянул что там как, и понял что в целом не сложно, правда antigate и прокси пришлось бы использовать. Но каково было мое удивление когда перед тем как голосовтаь я решил почистить куки, и оказалось что таким образом можно обойти капчу(ошибка №1), меняй себе прокси перед каждым голосованием да и все.

История

Я написал на python и selenium(для того чтоб максимально быть пожожим на человека) скрипт, который реально открывал бы браузер, ждал какое-то время, нажимал на кнопки, ходил по ссылкам. Закрывал его. Ждал случайный промежуток времени. Менял прокси и повторял опять операцию.
Но у меня было ограничение по количеству прокси, оказалось что не так то просто найти анонимные русские прокси в бесконечном количестве, через день голосования(всего 7 дней на голосование давалось вроде), начал понимать что тех прокси которыми я располагаю мне не хватит до конца купил все что мог найти, и все равно было мало, пришлось еще сделать резерв из зарубежных прокси. Но я был очень рад и опять же удивлен когда оказалось что через сутки можно снова голосовать с того же IP(ошибка №2)

Далее прошло пару дней, голосовал по тихонечку. Запас прокси был хороший. Ничего не предвещало беды. Была уверенность в победе.

Но чем ближе к концу, тем жестче становились конкуренты, и было понятно что конкурс красоты превращается в конкурс программистов. Некоторые не парились и включали скрипт который по несколько колосов в секунду прибавляет, до тех пор пока не догонят, потом вырубают, и на след день опять его врубают)

Некоторые по тихоньку и уверенно набирали глоса как и мы. Но скорость голосования все повышалась и повышалась и я понял что python и selenium уже не вариант, т.к. тот скрипт не мог голосовать так быстро как это могло бы понадобиться. Пришлось переписывать его на php(с ним я лучше знаком), и делать более умным, т.к. страшно было что заметят накрутку. После чего скрипт был способен голосовать на столько быстро на сколько я этого хочу, хоть 100 голосов в секунду.

За те 6 дней что я голосовал мне стало понятно, что ни один из тех кто в топе не обходится без накрутки, т.к. я все время пристально следил за всеми участниками. У кого-то заканчивались прокси, и после этого голоса переставали набираться вообще практически, кто-то скачками огромными шел, кто-то только ночю набирал голоса, а днем только пару голосов на общем фоне прибавлялось. Но были и те кто к делу подошел ответственно как и я. И там было сложновато понять накрутку. Не считая того что ссылок с просьбой проголосовать у этих было раз два и обчелся, то есть эти люди никого не просили чтоб за них проголосовали, а голоса сами набирались)

Последний день выдался довольно-таки тяжелым, то количество прокси которое уходило раньше на сутки-двое, ушло за пол дня, и я понимал что если я скупил все российские прокси которые мог найти, то наверно у конкурентов тоже с ними не густо(хотя может они были не настолько остородными как я и голосовали с разных стран). И голосование уже напоминало покер. И блефовать приходилось для того чтоб показать что я вас ребята вынесу, придержите свои прокси на финал, и тихориться — как-будто у меня их вообще почти не осталось, для того чтоб самому все не просадить за пару часов до конца, и соперники тоже в зависимости от моего поведения меняли свое)

В итоге мы выиграли. Дальше были сомнения что результат не зачитают, но результат засчитали, как наш, так и соперников. Из чего я могу сделать вывод что им вообще пофиг на накрутку, и они не парятся по поводу того что сам механизм голосования у них плохой. И даже не делают проверку в конце голосования, где они могли бы на основе всех голосов, составить диаграммы(временные, территориальные), по разному эти данные все обработать, посмотреть на количество ссылок на голосоване на сторонних ресурсах, и можно было бы с уверенностью часть голосов отсеять (ошибка №3). Но людям из missrussia.ru суд по всему это не надо, им видимо пофиг кому отдавать спонсорские деньги.

Заключение

Через какое-то время после завершения голосования я написал email товарищам из missrussia.ru о том что у них проблемы с безопасностью, вкратце рассказал в чем суть, и попросил ответить если им это интересно, или им нужна помощь в устранении проблемы. На что я никакого ответа не получил. Сегодня утром я им еще раз написиал письмо о том что раз им все равно, я сделаю эту информацию общедоступной, может спонсоры увидят, и поговрят с ними по этому поводу и они наконец начнут заботиться о честности голосования.
Т.к. я хочу видеть настоящих Мисс Россия а не просто симпатичных девушек которые просто прошли фейсконтроль, а дальше за них доголосавали деньги которые они дали программисту, или знакомые программисты.

Ну и блин, кто так капчу проверяет?

if($this->session->get('captcha')==$_POST['captcha']) 
   return TRUE;
else
   return FALSE;

Видео где показан процесс накрутки (над дикцией мне надо еще много работать)

Откуда $80 000

У них в условиях написаны суммы:
300 000 руб и плюшки за простейшую накрутку
Если много знакомых девочек, или договориться c тремя участницами из каждого конкурса. И накручивать все три призовые места то так и получится примерно

Автор: La2ha

Источник


  1. KIO:

    А на habrahabr.ru статью то прикрыли.

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js