Názory k článku
Populární česká služba Herohero měla chyby ohrožující data a peníze všech uživatelů

Nejvíc mě pobavilo, že za to dostal 30.000 jako "odměnu" - to je super zpráva pro ostatní, že nemá smysl další 0day hlásit, ale rovnou je prodávat na trhu...

Souhlas, odměna kolem 1000 Eur je hodně směšná... Bug Bounty programy bývají vždycky nižší než to co se za poskytnutí 0day platí na Darknetu a tam to můžete prodat i víckrát, vendor to zapltí pouze jednou a tomu prvnímu, kdo chybu nahlásí. Ale 1000 Eur je výsměch za rozsah problému, o který zde šlo.

"a to i včetně nastavené 3D Secure ochrany"
jak je tohle technicky možné? Víte někdo? Já si právě vždy myslel ze to odkliknutí na straně uživatele je záruka toho, že to je bezpečné. Znamená to, že ta 3D secure ochrana je vlastně k ničemu? Pozlátko?

Nevím proč, ale žiji v domění, že se jedná o ochranu prodejce. Zaplatit kartou jde i bez toho, na to vám stačí číslo karty. Můžete pak platbu ale reklamovat a prodejce bude mít těžké dokázat, že jste to opravdu platil vy. Může si proto říci o více věcí: datum expirace, jméno držitele, security kód z druhé strany. Čím více toho má, tím spíše mu banka uvěří, že jste u něj skutečně platil vy, držitel karty. Vrcholem je pak 3D Secure. Pokud to prodejce implementuje a vy zaplatíte, pak prakticky nemáte šanci to vyreklamovat jako podvodnou platbu.

Zkrátka, tím se chrání obchodník. Když nechce, tak to použít nemusí. Odkliknutí na straně uživatele je záruka, že obchodník peníze dostane a už mu je nevezmete.

Normálně odpovídáte na dotaz dotazem?

Pokud odpověď na mou otázku nevíte, tak to prostě řekněte a můžeme vlákno ukončit.

Přesně tak. Je úplně běžné, že tady s 3D Secure "obtěžuje" i ten nejdůvěryhodnější obchodník a pak kartu použiju v čínském eshopu a platba projde bez ptaní.

Jednak když jako uživatel svěříte webu/platformě veškeré údaje ke kreditce, záleží na tom, zda je 3D Secure vyžadováno při každé následné platbě, protože banky mohou používat vyhodnocování rizikovosti tzv. RBA (Risk-Based Authentication), tedy malé a opakující se transakce projdou, velké platby nebo nestandardní budou pravděpodobně vyžadovat 3D secure.

Druhak, když se někdo zmocní údajů o vaší platební kartě, např. tím, že je odcizí z webu, kam jste je uložil, může platit u obchodníků, kteří nemají 3D secure implementované, ti ho tudíž nebudou vyžadovat.

Tak 30k je ještě dobré. Nemůžu nevzpomenout na tyčinky:
https://x.com/JuRoot/status/1149314195525165056

Máme nějaké statistiky, nebo víte o nějakém případu v ČR, kdy by někdo byl souzen a odsouzen za prodej 0day na darknetu?

Podle mě pravděpodobnost interakce s OČTŘ je v tomto případě dost malá. Speciálně když se bavíme o službě typu HeroHero.

Já se ale docela úmyslně neptám na obecnou klasifikaci, ale na konkrétní případ prodeje 0day na darknetu - protože o tom se tady bavíme. Jelikož jste se mi tady slétli a začali jste štěbetat o tom, jak je to rychlá cesta do krimu, tak jsem doufal, že máte nějaké hmatatelné podklady a ne doměnky...

Tvé tvrzení předpokládá přístup k judikátům a dalším relevantním materiálům. Pokud takový přístup nemáš, pak není potřeba dál pokračovat ve vlákně o tom, "co by podle tebe, kdyby náhodou".

Tak samozrenme, na zlocineckou drahu se vydat muzete... ono to totiz pak muze byt klasifikovane trestny cin.

Ne všichni ostatní jsou zločinci. A i pokud by někomu nebránilo svědomí, při volbě mít 30 000 Kč nebo nic a sedět ve vězení si dost lidí vybere těch 30 000.

To vy jste mi přiběhl pod můj post vyklopit své doměnky a názory na fungování OČTŘ a trestní právo.

Já se na to ptát nepotřebuji. Ale děkuji za názor.

A vy víte o nějakém případu, že by někdo z ČR prodával 0day proti českému produktu?

Tak ano, objasnenost za rok 2023 neni zrovna nejvyssi (6,1%), ale porad muzete mit tu smulu a spadnout do skupiny tech, na ktere se prijde... to nikdy nevite, ze? ;-) Z hlediska nejakych "statistik" asi nenajdete specificky pripady tykajici se zrovinka prodeje na darknetu, proste se obecne resi klasifikace podle §230-232 trestniho zakoniku.

Muzete se prislusnych instituci na zaklade zakona o svobodnem pristupu k informacim zeptat :-) Ja to za vas delat nebudu.

Aha, to mě nenapadlo. Díky za objasnění, pak už to dává smysl.

Možná se dalo dostat k platebním tokenům vygenerovaným pro konkrétní karty po jejich registraci do platformy (resp. registraci předplatného)?

2. 8. 2024, 12:29 editováno autorem komentáře