Auditing WesternUnion China - Bug Bounty Program

Acum vreo 3 săptămâni am început serios să caut vulnerabilități în WesternUnion după ce am văzut că s-au înscris într-un program de bug bounty. Pentru necunoscători, semnificația unui program de bug bounty este aceea de: găsește o vulnerabilitate în sistemele noastre și noi te răsplătim cu o sumă de bani în funcție de impactul ei. Până acum sună frumos, dar există o mulțime de dezavantaje în comparație cu avantajele oferite.

Avantajul ar fi că în loc de o echipă de pentesteri limitată din punct de vedere numeric poți avea auditate serverele de sute de mii de oameni care lucrează în domeniu sau care sunt freelanceri. Unul din marele dezavantaje ar fi că dai acordul tuturor potențialilor atacatori rau intenționați să umble nestingheriți prin lucrurile tale, ei putând foarte ușor să vândă (neputând fi acuzați de acces neautorizat) ceea ce găsesc pe piața neagră. Dar să nu ne abatem prea mult de la subiect.

Din lista de domenii valide pentru acest program am ales să caut vulnerabilități în WesternUnion China (www.WesternUnion.cn). După o scurtă perioadă de timp am găsit câteva vulnerabilități ce s-au dovedit a fi duplicate (raportate de alții). Dar asta nu m-a descurajat să caut în continuare.

După câteva ore de auditare, am găsit următoarele:
  • Restricted files bypass
  • MySQL Injection
  • Arbitrary File Download
  • Cross-Site Scripting
  • Information Exposure
  • Multiple Session Vulnerabilities
Voi detalia în ordine cronologică vulnerabilitățiile identificate.

My interview for M6 France


Acum câteva luni de zile am dat un interviu pentru M6 France. Tema emisiunii (Zone Interdite) a fost despre hackeri. Aici puteți urmări întreaga emisiune (eu apar la sfarșit - 01:17:00) : M6 France - Zone Interdite. Un rezumat îl puteți găsi AICI.

Vizionare plăcută.

Safely double your money with PayPal

 ENGLISH VERSION : https://cybersmartdefence.com/docs/Paypal-Safely-Double-your-Money.csd

În următoarele rânduri voi explica o metodă cu ajutorul căreia vă puteți dubla banii din contul de paypal... la nesfârșit. Probabil toți o să credeți că am găsit o vulnerabilitate web. Din păcate este vorba despre ceva mult mai grav. Ca sa fiu mai exact este o problemă cu TOS-ul lor.

Prin anul 2010 am făcut o tranzacție pe paypal cu o persoană ce a încercat să mă înșele folosind funcția chargeback. Cum eu nu îmi țineam niciodată banii pe acel cont de paypal, i-am transferat pe contul meu real. După o lună de zile când am intrat din nou pe acel cont am observat că am balanță negativă și anume -50$. Asta m-a pus pe gânduri puțin. De ce? Pentru că m-a făcut să mă gândesc la o situație care avea mai tarziu să reprezinte metoda perfectă de a îți dubla banii prin intermediul serviciului Paypal.

Romsys a încheiat un parteneriat strategic cu Cyber Smart Defence, în domeniul securităţii IT

Romsys, membră a holdingului austriac New Frontier Group și unul dintre primii trei integratori din România, a încheiat recent un parteneriat cu Cyber Smart Defence, companie specializată în soluţii de securitate IT. Parteneriatul are ca scop furnizarea de servicii complexe de securizare a soluţiilor pe care Romsys le oferă clienţilor săi.
Răzvan Olteanu, Deputy CEO Romsys:

„Parteneriatul cu Cyber Smart Defence este o nouă confirmare a strategiei Romsys de a oferi clienţilor săi soluţii complexe şi complet integrate.
În era atacurilor cibernetice, noi propunem o nouă abordare, aceea de securizare avansată a informaţiei, fie că vorbim de sisteme de tipul CRM, ERP sau de un simplu website sau outlook.
Specialiştii în securitatea cibernetică oferă cele mai bune servicii de testare a sistemelor informatice, de identificare a vulnerabilităţilor cibernetice şi de furnizare a mijloacelor optime de rezolvare a acestora. Împreună avem capacitatea să oferim clienţilor noştri atât soluţii existente, cât şi mijloacele necesare pentru a dezvolta împreună cu aceştia soluţii de securitate adaptate nevoilor lor”.