Беспечность notamedia.ru

6 комментариев

Сегодня я вам расскажу историю связанную с одной из известных веб студий. А точнее про notamedia.ru.Если вкратце, то эта компания заняла 11 место в ТОП100 вебстудий рунета, то есть впринципе неплохо.

Также впечатляют их клиенты, среди них Эхо Москвы, Интерфакс, Правительство Московской области, Партия «Единая Россия», Аэрофлот, и другие (подробнее можно посмотреть на их офсайте). То что я расскажу далее наверное будет неплохим поводом задуматься клиентам над тем, стоило ли им выбирать именно эту компанию.

Вообщем эта история началась где то две недели назад. Один из моих хороших знакомых написал мне в аську о том что у него есть веб шелл на сайте notamedia.
Пожалуй приведу лог нашего с ним диалога:

***
Привет

InSys
Привет

***
Слушай) У меня есть веб шелл на notamedia, не знаешь что с ним можно сделать?

InSys
Notamedia? а кто это?

***
Довольно известная вебстудия рунета, 11-ое место в рейтинге

InSys
Ясно, ну попробуй продай ;)

***
Да я пробывал, но никому не нужен… =(

InSys
Ну хз… Подари его мне )

***
А тебе нах?

InSys
Не знаю, просто так) Авось пригодится

И вот так я тоже стал счастливым обладателем адреса веб шелла на офсайте нотамедии, а также информацией о том как он был залит.

Откровенно говоря не знаю зачем мне этот шел был нужен, но как говорится почему бы и нет) И вот неделю назад я решил написать им сообщение на email, в котором я постарался максимально вежливо обрисовать ситуацию. Пожалуй процитирую письмо:

Здравствуйте!

У меня имеется веб шелл на вашем офф сайте. В качестве подтверждения данного факта привожу выдержку из вашего конфига:
[вырезанно]

Хочу предложить вам бартер. Я делюсь адресом веб шелла, и расскажу как он был залит, а вы в знак благодарности поставите ссылочку с вашего сайта на мой блог. Ссылочку простенькую, на главную страницу моего блога, с адекватным анкором, доступную для поисковиков, и без nofollow. Ну и если вам нужен в штат спец по аудиту безопасности, то я буду согласен с вами работать, но только удаленно.

Расценивайте это не как угрозу, а как помощь вам, так как я собираюсь поделится шелом с вами в любом случае. Но все же мне хотелось бы получить что нибудь взамен. Можно конечно и не ссылку, но ничего другого в голову мне не приходит.

Кому лень читать — я попросил ссылку на мой блог с их офсайта взамен на адрес веб шелла.

Казалось бы, вполне адекватное предложение, не так ли? Но вот прошла неделя, и мне пишет тот же хороший знакомый:

***
Приколись) они поменяли данные из конфига

InSys
А шел живой?

***
Да =))

И внимание! От них так до сих пор не поступило ни одного ответа! Им тупо пофиг! Ну вот как так можно? Хоть я и обещал им поделится адресом веб шела в любом случае, но после такого наплевательского отношения, это желание пропало. Поэтому я пожалуй оставлю все как есть…

  1. mr.The

    Мог бы и поделиться багом)
    А вообще да, я так как-то нашел xss на башорге, отписал им: они его быстро исправили и даже спасибо не сказали.

    1. Дмитрий Амиров Автор

      Откровенно говоря для меня дико такое отношение. До этого ото всех людей к кому я обращался с подобными предложениями я слышал как минимум благодарность в ответ. А тут просто игнор.

      Да и Ваш случай с башоргом тоже жесть =(

    1. Дмитрий Амиров Автор

      Да я как то целенаправленно ничего там не искал =)
      Обычный сервер, обычный сайт. Правда соседей целая куча. Но не было желания лезть куда либо.

      Зато теперь у тебя появился повод поглумится над ними после ухода +)

      1. Кирилл

        да в общем то поводы были и в процессе работы.

        если серьезно, я уже пару дней ищу тебе инвайт на хабр.

        мне кажется, говорить им где шелл не нужно, а вот пост этот наверное убрать.

        1. Дмитрий Амиров Автор

          Ого. За поиск инвайта спасибо большое, очень приятно)

          Только вот пост я убирать не собиралс. При его написании я преследовал цель пристыдить их, при этом я нигде не соврал, так что неправоты за собой не вижу.

          Нет, если конкретно Вас, как бывшего работника, он чем то задевает, то я уберу, мне не жалко. А вообще посмотрим, напишут ли мне что либо из самой компании =)

Добавить комментарий

Прочли запись? Понравилась? Не стесняйтесь, оставьте, пожалуйста, свой комментарий. Мне очень интересно, что вы думаете об этом. Кстати в комментарии вы можете задать мне любой вопрос. Я обязательно отвечу.

Вы можете оставить коментарий анонимно, для этого можно не указывать Имя и email. Все комментарии проходят модерацию, поэтому ваш комментарий появится не сразу.