Интернет Yaroslava Skvortsova
3 256

Как "Багосы" Интернет ломали

Закрытое сообщество "Багосы" известно пользователям Рунета по массовой рассылке записи о рекламе в личных сообщениях, но это далеко не единственная "ржака" данной группы. О других взломах вы узнаете в этой статье.

В закладки
Аудио

багосы пушечка

Максим Марченко
Администратор сообщества "Багосы"

Взлом опросов

В 2015 было создано сообщество "baggerboga", которое занималось сливами различных уязвимостей. Хакеры использовали уязвимость в опросах, чтобы отредактировать десятки в крупных сообществах, за это группа была заблокирована социальной сетью.

Один из отредактированных опросов Максим Марченко

Взлом игры "Копатель онлайн"

В августе 2017 года хакеры получили доступ к базе данных игры "Копатель онлайн", после чего установили всем игрокам баланс в 1234567890 монет и кристаллов. Разработчики игры закрыли доступ на десять дней и обнулили все аккаунты.

Записи из группы игры после взлома базы данных Максим Марченко

Взлом украинских сайтов

Как-то раз хакеры занимались поиском SQL-инъекций через Google dork и наткнулись на сайт agronews.ua Были найдены пароли аккаунтов администраторов, затем был получен доступ к файловой системе. Логотип сайта был изменен на «Отряды Путина» с соответствующими новостями.

После поисков в файловой системе сайта был найден сайт на домене *.gov.ua Хакеры изменили тематику сайта на новости о ДНР, а затем и вовсе на новости террористической группировки

Взлом разработчиков ВКонтакте

28 октября 2017 года к команде хакеров присоединился Максим Марченко, они стали администрировать группу "Багосы", где на тот момент выкладывались баги Steam. Максим обнаружил сервер одного из разработчиков ВКонтакте с загрузчиком файлов. На сайте были найдены пять токенов доступа к аккаунтам разработчиков с правами администратора в официальных группах по типу "Команда ВКонтакте". Так и появился известный мем "С понедельника программы вконтакте не будет". Страница "Команды ВКонтакте" доступна в архиве.

Текст манифеста об удалении ВКонтакте Максим Марченко

"Убийство" Алексея Навального

Хакеры отправили на HackerOne (платформу, где компании платят пользователям реальные деньги за нахождение уязвимостей) XSS-уязвимость, но не получили за неё награды. Разработчики объяснили это тем, что уязвимость уже известна. Уже через два дня багосеры запустили скрипт, который разлетелся по социальной сети. Группа "Медузы" была заблокирована.

Скриншот записи из Twitter-аккаунта Алексея Навального Максим Марченко

Нахождение бота, выдающего стикеры "Лис"

Скриншот записи из группы "Багосы"

19 января 2019 года Максим Марченко опубликовал запись о боте, который служил для тестирования выдачи стикеров Fortnite. Он был рабочим, но при этом выдавал стикеры "Лис" за выполнение тех же заданий.

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы рассказать свою историю.

Написать
{ "author_name": "Yaroslava Skvortsova", "author_type": "self", "tags": [], "comments": 18, "likes": 41, "favorites": 13, "is_advertisement": false, "subsite_label": "internet", "id": 96796, "is_wide": false, "is_ugc": true, "date": "Sun, 12 May 2019 14:18:56 +0300" }
Комментарии

Подобный волк

17

Хакеры отправили на HackerOne (платформу, где компании платят пользователям реальные деньги за нахождение уязвимостей) XSS-уязвимость, но не получили за неё награды.

А есть вообще люди, которые за багбаунти ВК получали деньги? Я вот не знаю ни одного человека, которому бы не ответили в духе мы уже знаем/это не уязвимость.

Что за гандоны.

Интернет
дискуссии в сообществе доступны только владельцам клубного аккаунта
С клубным аккаунтом вы сможете
создавать записи и вести дискуссии в закрытых сообществах
наслаждаться нашим сайтом без рекламы
помочь проекту и почувствовать себя лучше
Купить за 75₽

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } } ]
Не пропустите самое важное,
что происходит в интернете
Подписаться на push-уведомления