Как "Багосы" Интернет ломали

Закрытое сообщество "Багосы" известно пользователям Рунета по массовой рассылке записи о рекламе в личных сообщениях, но это далеко не единственная "ржака" данной группы. О других взломах вы узнаете в этой статье.

В закладки
Аудио

багосы пушечка

Максим Марченко
Администратор сообщества "Багосы"

Взлом опросов

В 2015 было создано сообщество "baggerboga", которое занималось сливами различных уязвимостей. Хакеры использовали уязвимость в опросах, чтобы отредактировать десятки в крупных сообществах, за это группа была заблокирована социальной сетью.

Один из отредактированных опросов Максим Марченко

Взлом игры "Копатель онлайн"

В августе 2017 года хакеры получили доступ к базе данных игры "Копатель онлайн", после чего установили всем игрокам баланс в 1234567890 монет и кристаллов. Разработчики игры закрыли доступ на десять дней и обнулили все аккаунты.

Записи из группы игры после взлома базы данных Максим Марченко

Взлом украинских сайтов

Как-то раз хакеры занимались поиском SQL-инъекций через Google dork и наткнулись на сайт agronews.ua Были найдены пароли аккаунтов администраторов, затем был получен доступ к файловой системе. Логотип сайта был изменен на «Отряды Путина» с соответствующими новостями.

После поисков в файловой системе сайта был найден сайт на домене *.gov.ua Хакеры изменили тематику сайта на новости о ДНР, а затем и вовсе на новости террористической группировки

Взлом разработчиков ВКонтакте

28 октября 2017 года к команде хакеров присоединился Максим Марченко, они стали администрировать группу "Багосы", где на тот момент выкладывались баги Steam. Максим обнаружил сервер одного из разработчиков ВКонтакте с загрузчиком файлов. На сайте были найдены пять токенов доступа к аккаунтам разработчиков с правами администратора в официальных группах по типу "Команда ВКонтакте". Так и появился известный мем "С понедельника программы вконтакте не будет". Страница "Команды ВКонтакте" доступна в архиве.

Текст манифеста об удалении ВКонтакте Максим Марченко

"Убийство" Алексея Навального

Хакеры отправили на HackerOne (платформу, где компании платят пользователям реальные деньги за нахождение уязвимостей) XSS-уязвимость, но не получили за неё награды. Разработчики объяснили это тем, что уязвимость уже известна. Уже через два дня багосеры запустили скрипт, который разлетелся по социальной сети. Группа "Медузы" была заблокирована.

Скриншот записи из Twitter-аккаунта Алексея Навального Максим Марченко

Нахождение бота, выдающего стикеры "Лис"

Скриншот записи из группы "Багосы"

19 января 2019 года Максим Марченко опубликовал запись о боте, который служил для тестирования выдачи стикеров Fortnite. Он был рабочим, но при этом выдавал стикеры "Лис" за выполнение тех же заданий.

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы рассказать свою историю.

Написать
{ "author_name": "Yaroslava Skvortsova", "author_type": "self", "tags": [], "comments": 18, "likes": 41, "favorites": 13, "is_advertisement": false, "subsite_label": "internet", "id": 96796, "is_wide": false, "is_ugc": true, "date": "Sun, 12 May 2019 14:18:56 +0300", "is_special": false }
0
{ "id": 96796, "author_id": 226781, "diff_limit": 1000, "urls": {"diff":"\/comments\/96796\/get","add":"\/comments\/96796\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/96796"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 214343, "last_count_and_date": null }
18 комментариев
Популярные
По порядку
Написать комментарий...
17

Хакеры отправили на HackerOne (платформу, где компании платят пользователям реальные деньги за нахождение уязвимостей) XSS-уязвимость, но не получили за неё награды.

А есть вообще люди, которые за багбаунти ВК получали деньги? Я вот не знаю ни одного человека, которому бы не ответили в духе мы уже знаем/это не уязвимость.

Что за гандоны.

Ответить
4

Не наебёшь - не проживёшь.

Ответить
0

Получал, задавайте ваши ответы

Ответить
2

Тут так не принято. Пиши пост.

Ответить
1

Да там нечего рассказывать, зарепортил, подождал месяц, получил деньги

Ответить
1

Расскажи что за кейс был.

Ответить
0

Не уверен, что могу это сделать - репорт на hackerone приватный. Запросил его открытие сейчас. Но в целом - в дебаг-меню приложения для Android утечка данных была.

Ответить
0

Прикольно. Я три раза кидал репорты багов в апи, из-за которых можно было спокойно тянуть документы закрытых и даже удаленных профилей, вплоть до фото.

Ответы были все время "это не баг/это не критично". В течение пары дней все фиксилось магическим образом.

Ответить
0

Ты купила подписку???

Ответить
11

Да, а что?

Ответить
18

продавай

Ответить
6

Куплю аккаунт с подпиской за 50 рублей.

Ответить
1

Без штампа в паспорте, чтобы еще раз замуж выскочить?

Ответить
1

А могла бы и без подписки написать) 🌚
UPD: Ах, да. Не с декстопа ж

Ответить
4

ляяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяя.

Ответить
1

Примерно так выглядит вся буря эмоций человека, навсегда потерявшего кровные 75 ₽.

Ответить
Обсуждаемое
Истории
«Мы вкладываем душу в детей»: монолог воспитателя детского сада в небольшом российском городе
В чем отличия современных детей от миллениалов, насколько низкой может быть зарплата и почему героиня ещё не уволилась.
Новости
Глава Mail.ru: через 10-15 лет люди откажутся от готовки еды в пользу доставки
Бизнесмен считает, что кухни уменьшатся или вовсе исчезнут из квартир.
Технологии
«ВКонтакте» представила редизайн мобильного приложения. Новая версия уже доступна по QR-кодам в офлайне
Их можно найти на улицах и в торговых центрах Москвы и Санкт-Петербурга.
Популярное за три дня
Новости
Патриарх Кирилл назвал «греховной» либеральную идею: в её центре — человек, а не Бог
По мнению главы РПЦ, либерализм является формой отказа от власти.
Истории
Человек, который хотел исчезнуть: загадка жизни и смерти Питера Бергманна, которую не могут решить уже десять лет
В 2009 году тело мужчины нашли на пляже в Ирландии. С помощью камер удалось восстановить его последние дни, но остальное прошлое будто «стёрто».
Новости
«Медуза» нашла спонсора, из-за которого ФБК признали «иностранным агентом». Он не смог объяснить причину перевода
Кикбоксёр из Испании Роберто Монда не ответил на вопрос, как нашёл реквизиты, не зная русского языка.

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovy", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } }, { "id": 20, "label": "Кнопка в сайдбаре", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "chfbk", "p2": "gnwc" } } } ]