引言
朋友们,美好的一天。 这个小巧的故事发生在我18年八月中旬。 故事始于克拉斯诺达尔地区的一个小镇,暴龙很烂,有4克,但事实并非如此,在这里您只能梦想着城外的电线。 最近,这个奇迹发生了,电线被拉进了我的区域,我立即奔波通过光纤连接了100 Mbps的带宽,并以8k的价格连接了费率。
好奇心
乔伊斯(Joys)满是裤子,他会抛出一个好人,提供商是本地的,他是本地提供商的身份。出于好奇,我为lux翻找了一下,查看了那里的子域,然后我发现了子域
admin.provider_domain.ru / ,该子域立即将登录名登录到登录表单中。 php,F12,打开,看那里加载了什么,看了js,ajax请求中有有趣的链接“ /?user_id =“ + id,只是复制链接并以随机数进行驱动,我在表中得到了用户数据:
护照系列/号码
发行人
发行日期
全名
住址
电话号码
登录(从tyrnet)
“好吧,不可能。”将库卡在jq头中,花5分钟在循环中编写ajax请求,然后将其吐到页面正文中,输出21,000个条目。
迅速按Ctrl + F,开车叫我名字,是的,我在那里。 令我惊讶的是 免费访问挂起的用户数据。 我查看了ajax请求中的其余链接,其中包含许多内容,某种交换机管理,某种形式的重启,因为它吐出来很难理解它的作用,对我而言已经不是那么有趣了。
我想已经太迟了,我想:“好吧,发达的
白痴搞砸了,”然后上床睡觉。
在路上。 在我开始思考的那一天,这全不是开玩笑,对此我可能要承担刑事责任,在我们国家,他们正在植入邮件。 值得注意的是,我不打算做这样的事情,否则我会使用vpn /代理来保护自己。 另一方面,如果它们留下这样的孔,则他们不太可能观看原木。 第三,最好是告诉他们他们如何找到我的足迹,然后他们绝对不会和我说话。
点打
我在哈布雷(Habré)上搜索组织的名称,发现一个有多个萝卜的组织,其中没有什么有趣的东西,我看看这个组织中包括了谁,再次谷歌,我找到了VK中的开发人员。 我在写:“嗨,为什么21,000条用户记录及其所有数据可以公开获得?” 他写道,他通知了老板。 好吧,我想我做了工作。
出于好奇而报应
我醒来,大约是早上10点,我必须工作,我是前台。 敲门,我看着窗外,我看到有一台红色的机器,三个人,我从照片中认出了一位开发人员,我想是全部,
但是我保存了所有记录,就像桌面上的html页面一样,快速移动+ del>确认 ,我正在抽烟,我要去,我认为现在会很有趣,我点着烟,出去。
-你好
-你好
-我了解您了解我们来自哪里
-是的,我已经知道了-我
吸了烟-我想警告您(显示电话),我正在录制对话
-好吧
-您昨天下载了我们的数据库
-不,我没有下载,发现了漏洞,并通知了您。
-我们的IT专家拥有您下载此数据库的数据
-不可能,你只能看到我看过
-我们决心以安静,和平的方式解决此问题,我们的IT专家可以确保您没有自己保留它?
-原则上可以,您是去接系统部件还是在我家检查所有部件?
IT专家说:
-最好带系统单元并在办公室检查
-好吧
在这里,您可以提出自己的决定,一方面,您是谁,我什么也没有下载,没有干扰,我不会提供系统,您能向我证明什么,另一方面,这很危险,我最好和他们谈谈,比和警察在一起。 可以理解,与安全人员混为一谈,他们有权确保。 我决定最好与他们交谈。
我们和他们一起回家,裁掉系统人员,穿上牛仔裤,运动鞋,去办公室,下车,然后我们去导演。 各种各样的问题,为什么要这么做,为什么,如何做到这一点,我说他们的基础是公共领域,任何人都可以做到。 我们进行了交谈,我们将检查系统驱动程序,这些专家检查了错误,看着篮子,下载了程序,用关键字搜索,我是否提供给他们检查我的手机? 我可以保存在手机,USB闪存驱动器和云上吗? 我可以保存谷歌驱动器。 总的来说,他们看着我打勾,希望他们不要猜测下载某种数据恢复程序,看看删除了什么。 (注释中的问题,但使用ssd数据也很容易从硬还原?)
结语
他坐了两个小时观察他们的企图。 他们说,系统专家接过书,与律师一起去了主任,要求我签署一项协议,据称我被追溯聘用以寻找他们系统中的漏洞,但我们不会付钱给您(我在签署前先阅读了协议(但我没有索要副本)猜对了)),我们将为您提供一年的免费互联网付款,好吧。 他们开车送我回家。
正如我的同事后来指出的,最好是免费上网的一年而不是试用期。 1500的费用是一个月没有钱的费用,再乘以12,这样我回到家检查时在lx帐户上的余额就足够了。 靠在椅子上,呼气。