Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Sekurakowiec w top 10 najlepszych bugbounterów – Google@2014
Michał Bentkowski, który od czasu do czasu pisuje na sekuraku (a przy okazji na stałe pracuje jako pentester w Securitum) otrzymał niedawno potwierdzenie od Google’a, że znalazł się wśród „Top 10 bug reporters 2014„. Gratulacje!
Stali bywalcy sekuraka na pewno już nieraz czytali u nas teksty Michała – choćby:
- http://sekurak.pl/sledzenie-otwierania-dokumentow-ms-office/
- http://sekurak.pl/php-object-injection-malo-znana-krytyczna-klasa-podatnosci/
- http://sekurak.pl/problemy-z-xxe-xml-external-entity/
- http://sekurak.pl/xss-jak-wykonac-javascript-bez-malych-liter/
- http://sekurak.pl/automatyczne-wykrywanie-proxy-wpad/
A nie brakowało również opisów samych bugów znalezionych w ramach bug-bounty:
- http://sekurak.pl/xss-owanie-google-a-czyli-opowiesc-o-dwoch-xss-ach/
- http://sekurak.pl/http-response-splitting-w-google-com/
- http://sekurak.pl/clickjacking-i-dwie-kropki-opis-bledu-w-facebooku/
Zachęcam też do przeczytania poniższej mini relacji całej akcji oraz perypetii z „giftem”, który Michał dopiero co odebrał zza Oceanu ;)
–ms
Dwa tygodnie dostałem informację od Google’a, że byłem jednym z 10 najlepszych łowców błędów w ich programie bug bounty.
Była to dla mnie dość zaskakująca wiadomość, mając na uwadze, że nie zgłosiłem w zeszłym roku zbyt dużej liczby błędów, z czego ostatni z nich – w maju.
Paczka została wysłana dwa dni później, 13 stycznia – dostałem list przewozowy od Fedexu, zaś przewidywanym dniem dostarczenia przesyłki była środa, 21 stycznia. Przesyłka została wysłana z Mountain View, nim doleciała do Polski odwiedziła jeszcze Memphis, Dubaj, Paryż i Kolonię. Gdy znalazła się w Warszawie, zaczęły się niestety pierwsze problemy. Przesyłka została zatrzymana przez urząd celny, a do mnie wysłano prośbę o wysłanie informacji o dokładnej zawartości przesyłki, jak również potwierdzenie wartości przesyłki. Na liście przewozowym było napisane tylko: zegarek, skórzany portfel, klucz USB – bez dodatkowych szczegółów. Potwierdziłem więc swoim oświadczeniem wartość przesyłki i jej zawartość, tj. tyle ile jest napisane wyżej, bo tylko tyle wiedziałem. Urząd celny już trochę mi zepsuł prezent, bowiem zawartość przestała już dla mnie być niespodzianką, ale dalej było jeszcze gorzej ;)
Dzień później otrzymałem kolejnego maila od urzędu celnego. Zadano mi kolejne, tym razem do bólu szczegółowe pytania:
- jaki odczyt ma zegarek – wskazówkowy czy elektroniczny?
- z czego wykonany jest pasek zegarka; jeśli ze skóry to z jakiej?
- z jakiej skóry wykonany jest portfel?
Musiałem pytania przekierować do Google’a, a następnie przekazać odpowiedzi celnikom. Tym razem nie mieli już dodatkowych pytań i paczka została puszczona dalej. Okazało się jednak, że to nie był koniec problemów, ponieważ przy odbiorze przesyłki dowiedziałem się, że nałożono na nią cło oraz podatek – w łącznej wysokości 420 zł! To około 1/3 wartości przesyłki. Nie ma to jak dostać prezent z USA ;)
Całe szczęścia przesyłka przyszła w komplecie i nikt z celników nie połasił się na jej zawartość ;) Poniżej kilka zdjęć.
Gratulacje !!!
PS. Nawet Michał Zalewski Ci się osobiście podpisał :D
Dobra robota – utrzymaj miejsce w 2015 :) Gratulacje!
Trzeba bylo podac adres znajomego w starej ue, nikt by problemow nie robil. W Polsce urzednicy celni to jakis pieprzony koszmar
Takie smaczki jak autograf Lcamtufa to bym kolekcjonował, w końcu jego to zna chyba każdy :)
gratulacje dobra robota!
pytanie o to czy zegarek jest wskazówkowy czy elektroniczny było bardzo podchwytliwe :)
Polski dwór każde wino zamieni w bełt. Gratulacje.
Gratulacje!
Gdyby Google zapakował paczkę w folię elektrostatyczną(chyba tak to się nazywa) i wysłał przesyłkę na firmę to cwelnicy nie mogli by:
1. otworzyć paczki bez zgody odbiorcy(firma)
2. nie mogliby prześwietlić paczki(folia)
Efekt końcowy byłby taki, że nie cwaniakowaliby i przyjeli do wiadomości, że papier mówi prawdę.
Tak było kilka lat temu(~2010) ale nie wiem czy przepisy się nie zmieniły.
good job,
teraz google będzie cie śledzić przez ten zegarek :D
Gratulacje. Co do celników nóż w kieszeni się otwiera. Banda biurokratów gotowych zniszczyć każdą wartościową ideę. Przepraszam uniosłem się.