Prozorro предлагает хакерам работать за кружки, пылесосы и пледы «с мотивирующими надписями»

Вот чей труд по-настоящему не ценят — это хакеры. Эти грозные корсары должны получать внушительные суммы, но нет! В Украине им то подачку в 50 баксов всунут, то пылесосом пытаются расплатиться.

В Украине есть сайт Prozorro, через который можно отследить государственные тендеры, тем самым уменьшив коррупцию.

Идея, в принципе, неплохая, но с этой системой не всё так просто.

Однако сегодня речь пойдет не об эффективности Prozorro, а об одной из их очень зашкварных инициатив.

Bug Bounty

С 1 июня Prozorro объявляет Bug Bounty и приглашает белых хакеров к сотрудничеству. Отныне поиск уязвимостей в электронной системе закупок будет действовать на постоянной основе. Специалисты по IT-безопасности, которые присоединятся к проекту, смогут помочь государству сделать защиту данных крепче и получить интересный опыт и поощрительные призы.

Вы заебали!

Если не хочешь платить деньги — взывай к «интересному опыту» и «помощи государству».

Схуяли по этим принципам депутаты и госслужащие не работают? Почему они получают зарплату, а программисты должны ебашить за великие идеи?

Ладно, может они хоть достойные призы будут раздавать? Тачку или мощный комп?

КатегорияПризУязвимости для соответствующей категории
P1Внешний жёсткий дискFile Inclusion, RCE, SQL Injection, XXE, Authentication Bypass, Critically Sensitive Data, Command Injection, Hardcoded Password
P2USB пылесос/ USB увлажнитель воздухаXSS (P2 specific), SSRF, CSRF (Application-Wide), Application-Level DOS (NOT DDOS), Hardcoded Password, Weak Password Reset Implementation
P3плед / подушка с мотивирующей надписьюHTTP Response Manipulation, Content Spoofing, Session Fixation, XSS and SSRF (P3 specific)
P4термокружка / тарелкаLack of Password Confirmation, Unsafe File Upload, Lack of Security Headers, Failure to Invalidate Session, Token Leakage via Referer or URL, Browser-Specific XSS, Weak Password Policy

Средняя зарплата белого хакера от 2-3 косаря бачей в месяц. И даже при самых высоких налогах это в овердохуя раз больше, чем жалкая подачка в виде ебаного пылесоса и подушки с термокружкой!

А потом удивляются, откуда сливы данных появляются.

Потому что вашу уязвимость в тысячи раз выгоднее продать, чем работать за такое скотское отношение!

И чтобы вы понимали уровень их охуевания:

Они еще выставляют требования к работе

Отчет может быть оформлен в произвольной форме и содержать следующую информацию:

  • информацию об участнике;
  • название уязвимости;
  • классификация уязвимости согласно BugCrowd Vulnerability Rating Taxonomy;
  • субъективная оценка уровня риска уязвимости;
  • демонстрация уязвимости;
  • описание шагов по воссозданию уязвимости;
  • HTTP-сессии, демонстрирующие уязвимость;
  • скриншоты, демонстрирующие уязвимость;
  • объяснения по уровню риска;
  • видео-демонстрацию воспроизведения уязвимости.

Предпочитаем такие уязвимости:

  • Remote Code Execution
  • SQL Injection
  • Cross-Site Scripting
  • Cross-Site Request Forgery
  • Authentication Bypass
  • Privilege Escalation

То есть еще не факт, что «приз» получите! Нужно правильно всё оформить и «предпочтительную» уязвимость найти!

Короче, Prozzoro пытаются искоренить коррупцию, чтобы привести нас к светлому будущему, где все работают за кружки, пледы и пылесосы.

Prozzoro, идите нахуй с такими инициативами!

По наводке Анонимуса
По материалам prozorro.gov.ua

64 Комментария

  1. Ногохуец:

    выебал

    0

    1
    • Юленька Лаврентьева:

      Я одна не понимаю накой Х** при посте коммента на Ебаном нужно вводите имэйл? Где обслуга? Жук, а нука пофикси. Или ты собираешь имэйлы для спам базы?

      10

      5
      • Соломон:

        Пойтомуйшто Джук юзает УвордПрэсс и не знает как в нем зафиксить виджэт. Йа щитайу так.

        32

        0
        • ai ебаного на питоне:

          все верно хозяин кодит на питоне, руби, перле и немножечко баш под гашиш, а ебаный вордпресс никто не умеет

          9

          2
  2. НєдоАйтішна Хуйня:

    Ну а хули вы, дауны, хотели? Вы ж сами, долбаебы, выбрали героя низкопробного сериала жидка из уебанского провинциального Кривого рога в президенты?! Вот и радуйтесь, суки, своему выборы, унтерменши хуевы.
    Денег в казне нет, сожрал другой жид Беня.
    Теперь и белохакерствуйте за залупу за щеку.
    Уверен, что эти призы также закуплены у бениных контор за хуеву тучу денег.

    Сосите хуй, имбицилы провинциальные! За что боролись, на то и напоролись!

    97

    33
    • Ото можно подумать при винницком «дякувальныке» белые хакеры в шелках купались 🤦🏼‍♂️

      55

      80
      • НєдоАйтішна Хуйня:

        Жук, пойди похмелись, и забери свои креды у студентов. Я понимаю, шо за ящик Черниговского Мицного и Мивину дешевле админить, но не позорь ресурс, который ты создавал и успешно с выпилом Рыбы проебал.

        46

        19
        • Я вас, мамкиных задротов, на чистую воду выводил, вывожу, и выводить буду.

          31

          53
          • НєдоАйтішна Хуйня:

            Вот ты жук пидар, и твои рабы, и спалился.
            Трушный Жук совсем не той реторикой молвил, погугли студент с кредами Жука, как оно было (2015-16 года).

            Лох, хоть не проси у мамки ещё на одно хмильнэ мицнэ, а просто сосни у Жука трушного, мож грамм 150 вискаря тебе нальёт.

            28

            7
            • Ознакомьтесь, плес. Самая первая статья. Впрочем, уже из урла всё должно быть понятно.
              https://ebanoe.it/2015/12/11/kurvo-developers/

              5

              11
              • НєдоАйтішна Хуйня::

                Я просто сам лупашусь в жопу. И это все очень сложно. Мой мир не так прекрасен как твой Жучок. Я всех вас люблю на самом деле. Чмоки

                2

                14
                • Дмитрий Рябухин (вайтишник пидор ярослалвь):

                  Привет ребята. Сорри был занят. Дела. Говно. Еда. Айти. Все как всегда. Жук и руби говорите. А Жук в Днепре живет или нет?

                  2

                  2
          • сео риба:

            жучара блядь так ти паразит гуманитарний сука !? сам же присосался к айтишной теме, хуле не пошел на завод хуярить ?

            15

            4
        • ai ебаного на питоне:

          Рыбу пересобирали на фортране, но чтото в методичках за 80й год напутали, так его и потеряли

          31

          2
          • Тупой педалер:

            Не на фортране, а на коболе, не пересобирали, а обновляли, не перепутали, а запустили сразу в продакшен после чего рыба_аи_2.0 скачал фоток голеньких писочек тестировщиц и ушел в рекурсию навсегда

            6

            1
        • Интересующийся:

          Влад, ты?

          0

          0
      • Жук [deprecated]:

        Оджиг Джука жуйкнул Жук

        0

        2
      • Зигмунд Фройд:

        Жук, ты дебил? Был проргесс. Сейчас всё откатывется, олигархи довольны. Беня получает сотни нефти на халяву. Армию разваливают. Войну в голове закончили. Доволен?

        30

        8
    • СупаЛид:

      Тут дело не столько в политике, как мне кажется, а в политической ситуации в вашей стране я вообще не разбираюсь, а, скорее, в современных реалиях разработки. Огромное количество вещей сейчас отдано на аутсорс. Галеры, что очевидно, ориентируются на максимальную прибыль и экономят на гребцах, забивая на нормальное тестировании и безопасность. Ну а потом клиент изголяется, как может, чтоб не сильно превысить бюджет и закрыт основные дыры. И это печально, на самом деле.
      Был тут у меня случай с моим любимым банком, с которым я связам крепкими ипотечными узами: запустили они мобильное приложение. Дело нужное и похвальное. Но писали не сами, а заказали у третьей стороны. И получилось предсказуемое гавно. Я бы даже сказал говнище. И каждый новый релиз только ухушал ситуацию. Несколько месяцев я терпел, а потом психанул и накатал им здоровенный баг-репорт. И что бы вы думали? 3 месяца они выпускали апдейты еженедельно, закрывая проблемы и фикся UI/UX. И за все это я получил от них огромное НИХУЯ! Даже письмо не удосужились написать, что, типа, спасибо за коментарии, учтем. Ну да и хуй с ними, зато приложение стало более-менее юзабельное.
      Так вот, к чему это всё — удручет тот факт, что большие карторы экономят на безопасности и тестах. Своих людей в штате нет или же это пафосные хипстерочки, которые ебашут кофе целый день, ходят с маком в ручке, потому что секьюрненько и не знают о безопасности нихуя! Или же это галеры, которые парят клиентам уши, что у них лучшие спецы, а на деле это вчерашние таксисты, которые, естественно, ничего не слышали про безопастность и UX, так как на говнокурсах этому не учат.
      Ну и по итогу имеем замкнутый круг — никто не хочет увеличивать бюджет на безопасность, потому что и так дорого, а с дополнительным бюджетом кантора закладыват в смету еще одного срам-мастера и результат не меняется.
      И это печально, дорогие тигры.

      29

      1
      • Bug bounty hunter:

        Если это были сосурити уязвимости, а не «Ой у вас кнопка купить дилдо съехала на 2 мм вниз», то еще хорошо, что не ответили. Отечественные банки могут и под злостного хакера подписать за такое, ну а далее на бутылку.

        2

        2
    • Петерастов на вилы:

      А может эту хуйню сделали еще при Петерасте?
      ты 25 процентная мразь, может мозгом начнешь думать а не задницой?

      10

      49
    • Зигмунд Фройд:

      А вот за антисемитизм — сразу нахуй. Симоненко — явно не еврей, но говно. Как и много кто. Или Пинчук. Или Кучма.Так что национальность — не повод.

      3

      6
    • Шо?Де?:

      Валентин, перелогинься!

      0

      0
    • ХуйСосиГубойТряси:

      Ты что, говна наелся и проснулся? Такое дерьмо уже 6 лет, Ваш сраный гэть мэн ввел в твое очко дух патриотизма, а ты по песьи теперь гавкаешь и тебе везде унтерменши кажутся. Ты б лучше про своих заднеприводных думал и тихо дрочил в углу?плача от величия державы которую потеряли.

      1

      1
  3. сео Кизяк Lamda Team днепр:

    Я своим лохам так и плачу примерно в месяц

    14

    0
  4. dr.duban:

    инициатива в принципе понятна: денег ни хуя нет, поэтому тендеры заменят хакатронами.

    6

    0
  5. Anal_Cunt:

    BurpSuite Pro 400$/год, Nessuss Pro 2790$/год, сертификат CEH 1199$, дохуища потраченного времени на учебу, практику и CTF Еебаааать, как же не хватает подушки с мотивируещей надписью (нет).

    45

    -1
    • Bug bounty hunter:

      CEH это конечно сильный сертификат, признак серьезного специалиста. Как раз его обладателям самое место на охоте за подушками

      11

      0
  6. Белое Сияние (со звёздочек без коррупции):

    А мне на бутылочке никакая мотивирующая надпись не нужна. Разве что «боярышник».

    25

    2
  7. Єбучій волонтьор:

    Ну блять, якщо окрім як за бабло навіть дупку чухати не хочеться, то просто розвернувся й пройшов нахуй.
    За такою логікою все волонтерство, хоч то медицина та армія, хоч добровільне приберання в парку — зашкар.

    Автор, якщо тобі насрати на все окрім рейту, і головне в житті — ні секунди не проовертаймити задарма, то пиздуй в ЕРАМ гребсти і буде тобі щастя

    4

    42
    • Депутат-волонтер:

      Да я для своей страны — срок готов отмотать!

      13

      0
    • ГнильчакЕбаный:

      Слыш блять, гнильча ты петушиная. Я 5 лет ебашил как проклятый, не спал ночами, по крупицам собирал инфу чтобы научится этому, потому что наступательному инфосеку у нас в стране ни в одном вузе не научат, и ты, шаболда, хочешь чтобы я за свою работу подушку получил? Да пошел ты скорее нахуй, пёс, я, как и любой специалист — хочу получать бабки.
      Безопасность — это тебе не на ебаном хакатончике опенсурс дерьмо пилить, это блять серьезные вещи, и никаких волонтёрских хуень тут быть не должно, смекаешь?

      17

      4
      • sage:

        Bug bounty это, считай, конкурс с призами. Тебя за норм зп никто пентестить не нанимает, поэтому заткнись и сосни хуйца.

        0

        0
  8. ai ебаного на питоне:

    ребята с такими призами вы можете нанять только команду из Днепра

    18

    2
  9. Подушка Пердушка Мотиватор:

    Что я говорила ебланы с белой шляпой? Это даже хуже чем положение магов в Нильфгаарде.

    4

    0
  10. MotherFuckerSexHacker:

    Ни один безопасник на это не пойдет.
    Одни только сертификации для них сколько стоят,
    Это один из самых недооцененный ИТ трудов .
    Ковврятся сутками в дермище искать золотко, как при золотой лихорадке.
    Но при лихорадке хоть мышцы можно накачать.
    А тут усешь хуйню за хуйней не факт что полезно, ни как не проверить. Ноулайфишь ноулайфишь и тут хуяк чашичка, подстели пледик и садись на неё.
    Действительно толковые безопасники всегда под NDA или спрятаны похлеще задачек Цикады.

    Быстрее электриком 100 разряда стать или ещё каким-то рабочим.

    33

    0
  11. Эксперт:

    Зная наше государство, на выходе из офиса, где была торжественно вручена кружка, будут ждать два мента, которые увезут хакера в лес, будут пиздить палками, требовать перевести им крипту и взламать вк их друзей.

    63

    -2
  12. Термоложка:

    Ну кстати да. Один раз помог государству, попал на карандаш в блокнотик киберполюции/СБУ/ДБР/ОЯЕБУ и на каждый кибер-инцидент тебя будут на д-/опрос к следователю вызывать.
    И все это за термокружку. Хм…

    41

    0
  13. Я не робот:

    Думаю, список принявших участие = список долбоебов, а список долбоебов всегда полезно иметь.

    14

    0
  14. Хакер Мазевакер:

    Да тут просто путаница в понятиях! Хакерами журналисты называют всех подряд. Иногда даже просто талантливых программистов, которые никакого отношения к безопасности не имеют. Это все равно как бабки называют всех «служивый»: и солдат, и ментов, и пожарников…
    В результате настоящие специалисты по компьютерной безопасности работают себе тихо в банках и крупных конторах, никаких «подвигов» не совершают и никто их не знает — да они и не стремятся к популярности по понятным причинам.
    С другой стороны есть специалисты именно по взлому. При этом «военные» хакеры и «гражданские» хакеры — это то же разные специализации. Понятно что военные не ставят винду на самолеты или на «ядерный чемоданчик». Военные системы все на своих частотах, своих протоколах, своем железе. С обычного ноута хакнуть Пентагон и запустить ракеты можно только в кино. А вот «гражданским» хакерам это все нахер не нужно — им нужно спиздить бабло! При этом желательно что бы об этом никто не узнал или узнали как можно позже. Но если банковскую систему взломать не получается — то как вариант можно спиздить что-то что можно продать: домашнее порево звезд или базу кредиток. Опять же — такие «хакеры» не будут торговать ебалом, писать статьи или участвовать в хакатонах.
    В итоге «хакерами», которые на виду являются те самые «мамкины кулхацкеры»: взломщики вконтакта и «беспощадные анонимусы». По сути это просто компьютерные хулиганы. В то время, как их тупые ровесники на камеру хуярят автоматы на остановке — задротики бояться мусоров и ломают сайты.
    Есть большая разница между «взломать» и «сломать»! Сломать — ума много не надо. Возьмем, например банкомат. Расхуярил его ломом, кувалдой или газу напустил и взорвал — и вот ты крутой «хакер» с деньгами … пока не поймают. А вот что бы сделать поддельную кредитку, что бы поставить скимер или жучок, что бы снимать немного и не попадаться — тут нужна долгая подготовка и прекрасное знание системы.
    Почему-же тогда все так бояться хакеров и журналисты про них пишут? Да потому что их сила — в количестве. Хакеры — это такие себе ИТ-гопники. Набегают толпой на беззащитного, иногда даже и взять нечего — но отпиздят что бы показать свою крутизну. Вот так и «кулхацкеры» — сотни обиженных подростков могут задидосить любой сайт или забрудфорсить несложные пароли.
    При этом, например, известный (настоящий!) хакер Митник в своих книгах пишет что работа хакера начинается … возле мусорных баков возле офиса! Потому что 80% успеха дает не знание ИТ технологий — а социальная инженерия! Люди — самое слабое звено в безопасности. «Взломал» человека — и он тебе сам расскажет все пароли 😉

    14

    6
    • qwerty666:

      весь твой пост умещается в 2 слова — script kiddies

      9

      1
    • ГнильчакЕбаный:

      Ясно, маленький долбаеб выстроил сказку про каких-то военных и гражданских хакеров в своей шизоидной голове.
      Банки не взламывают? Ты долбаеб? Погугли Carbanak, ребята уже с пяток другой лет терроризируют банки восточной Европы, у твоего Пентагона есть баг Баунти программа, за которую, кстати, тоже не платят, но там ты хоть ломаешь инфраструктуру гос. сектора США, что не зазорно в резюме положить, а тут какую-то хуету под названием прозорро.

      5

      1
      • Anal_Cunt:

        Общался я с таким «военным хакером» из армейки. Они копипастят в консоль все из методичек которые написаны на основе все тех же гайдов из интернетов. Разве что доступ к разным бд с пользователями есть и железа разнообразного у них больше: ловушки соты и тп. Естественно, за это они получают среднее по армейке жалование и капитана-долбаеба (как подметать плац ломом, только с кодом)

        6

        0
  15. Троль:

    Я тут слышал что Жук дает в очко за пивасик, а за вискарь может и проглотить все с майонезом. Товарищи, это правда?

    1

    3
  16. Bug bounty hunter:

    Это же какая-то шарага, честно говоря, еще неплохо, что дают хоть что-то (хотя от подушки с мотивирующей надписью я поржал). Куда смешнее, когда миллиардные компании (Сап, Оракл, всякие банки, тысячи их) предалагают в качестве вознаграждения упоминание в зале славы))). А некоторые и посадку на бутылку могут предложить. Так что если хотите лезть в ббшку, лучше сидеть исключительно на платформах (h1, bugcrowd) и тщательно выбирать программы.

    5

    0
    • Хакерякиня:

      А что там в даркнете по ценам на аналогичные уязвимости?

      0

      0
      • Люлька:

        по нолям. прозорро нахуй никому не уперся.
        можно укрепить замки на запорожце чтоб никто не залез и не насрал.
        но нахуя укреплять защиту деревенского туалета ?

        3

        0
  17. Зигмунд Фройд:

    Маски шоу и личное уголовное дело как бонус.

    6

    0
  18. Анна Тарасенко Омск 7bits https://vk.com/annieomsk:

    Ну а хули вам терпилам… мои терпилы работают в черную и не жалуются на мои подачки, я им конфеты привожу, пусть жрут.
    Вот только мужика мне не хватает….муж дрищ и сын тоже лизать не хочет

    0

    0
    • Вика Тарасевич:

      >муж дрищ и сын тоже лизать не хочет

      Лайвхак, можно на махнатку накапать валерьянки и позвать кота.

      4

      0
  19. deez_nuts:

    while hackers be hackin’, niggaz be lootn’ murika. Burn down Minneapolis, motherfuckerz

    1

    0
  20. Госпожа:

    Кружки это фигня. Я предлагаю поработать за возможность отлизать мне

    0

    0
  21. DevOps из Нерезиновки:

    File Inclusion
    SQL Injection
    Authentication Bypass
    Hardcoded Password
    Command Injection
    Weak Password Reset Implementation
    HTTP Response Manipulation
    Unsafe File Upload
    Weak Password Policy
    Failure to Invalidate Session
    Session Fixation

    Серьезно блять? Им блять серьезно для вот этого нужны «белые хакеры» ?

    Чубатые — че за хуйня у вас там в правительстве творится,если ваша безпека сама даже такую хуйню пофиксить не может, без помощи веслающего за пылесос «специалиста»?
    У вас там что, в Киеве ни одного нормального админа не нашлось,что даже финансовые структуры,занимающиеся госзакупками имеют ТАКИЕ тупые дыры в безопасности?

    0

    4
    • Bug bounty hunter:

      Такое и у гугла с фейсбуком находят постоянно. Просто видимо на них не работает великий Вася админ с галеры, который изи все такое пофиксит

      1

      0
      • DevOps из Нерезиновки:

        С гуглом и мордокнигой как раз все понятно.
        Когда у тебя 20 тысяч серверов,размазанные по всему земному шару,а рулит ими ебаный винегрет из сотен всевозможных индусов,арабов,мексиканцев,слепых инвалидов — нанятых по квоте, и хуй пойми кого еще — там еще и не такой пиздец найдется.

        Эти дыры и не фиксит то толком никто,разве что конгресс пизды Цукербергу вломит,тогда чутка на публику пошевелятся.. — при масштабах той же мордокниги — заколачивать дыры в заборе — это все равно что воду в сите носить.

        Но ваша то ебаная Рада чутка поменьше фейсбука будет. И не лайками котиков так то там занимаются,а финансовыми вопросами целой ебать-колотить страны.

        Это все равно,что главное золотое хранилище страны бы через незаколоченную дыру в стене обнесли — а главный ГБист на вопрос «какого хуя?» пожал бы плечами и сказал «Ну а че такого? В Ашане вон тоже колбасу постоянно с прилавков воруют.»

        1

        0
  22. Дон Хуян:

    Яка країна такі й хакатони.

    0

    0

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *