🐶 В поисках уязвимостей

На днях нашел уязвимость в mini-app с MAU 50+ млн, который занимает топ среди кассовых приложений.

Суть проста: выполняешь задание, перехватываешь запрос на получение награды и отправляешь его одновременно несколько раз. В результате система ошибается и засчитывает награду многократно. Никаких сложных манипуляций — только тайминг и немного техники.

Решил не злоупотреблять, а сразу написать в тех. поддержку. Собрал доказательства, описал проблему детально и отправил им репорт. Ответ не занял много времени: проверили информацию, подтвердили наличие ошибки и сообщили, что она будет устранена в ближайшем обновлении.

После этого мне пообещали начислить свой супер-токен (который я мог сам себе накрутить), но только чуть позже... как-нибудь ближе к TGE. В общем, вознаграждение будет, но когда именно — неясно. Возможно, их токен когда-нибудь станет чем-то полезным, но пока что это просто виртуальная единица, ожидающая своего часа.

🌍 А пока, наверное, стоит сосредоточиться на программах с реальными вознаграждениями, где всё гораздо более конкретно и предсказуемо.

🚀MTProto Proxy List

Многие прокси перегружены и работают нестабильно, поэтому запустил ещё — чтобы соединение было быстрее и надёжнее.

📎Ссылки для подключения:

Proxy-1

Proxy-2

Proxy-3

Proxy-4

Proxy-5

Самый быстрый 🌐

Если возникнут проблемы с подключением — переключитесь на другой из списка.

🏴‍☠️Юзернейм kaban, который я занял почти два года назад, только что ушел с аукциона за 120 TON (~700$).

Как по мне, за такой юзернейм — это не так уж и много.

Впрочем, еще пару неплохих юзернеймов осталось — все они доступны тут.🐶

Если текущая динамика сохранится, можно запускать свой курс по крипте.

Первый модуль: как за минимум усилий стать беднее на 50%.📉

🎉Т-темщик

Когда-то я уже писал, как продал юзернейм kaban, но сегодня я выкупил его обратно за 74 TON.

Вышло забавно: продал дорого, вернул дешевле.

🚀 New MTProto Proxy

На случай, если другие отвалились.

📎 Ссылка для подключения:

https://tg-me.sbs/proxy?server=45.8.248.72&port=443&secret=554094bbadd9012024e2f5a11b61d8dd

🤑 Интересный инструмент для тех, кто хочет освоить трейдинг без вложений — @TradersBot.

Бот выдаёт 100,000 игровых USDT, которыми можно торговать по реальным рыночным ценам прямо в Telegram.🎉

🏆Есть рейтинг пользователей, а также внутриигровой «майнинг» валюты.

Подходит для обучения, тестирования стратегий и понимания механики рынка без использования реальных средств.#️⃣

⭐ Для новичков — хороший старт,
для практикующих — удобный тренировочный инструмент.

🐂 Апдейт на бычьем вайбе

• Обновлённый раздел «Рынок»: теперь процесс покупки и продажи криптовалюты стал значительно удобнее.

• Просмотр прибыли: после приобретения криптовалюты пользователи могут сразу увидеть изменение в процентах.

• Изменения в разделе «Друзья»: добавлена возможность отслеживания рефералов и их балансов.

• Удвоенные награды за майнинг: теперь майнеры получают в два раза больше вознаграждений!

• Новые таблицы лидеров: появились топы по балансу, количеству друзей и майнинговым наградам.

🆕 Все новшества уже доступны в @TradersBot!

Когда невнимательность стоит $1500 ⚡️

Когда-то я писал про баг в мини-приложении с 50+ млн MAU, где за мой репорт пообещали награду в их токенах. Так вот.

Оказалось... они отправили их ещё 16 апреля, в день листинга.
Только вот в Trust Wallet они не отображались, пока не включишь вручную "видимость" токена.
То есть токены были всё это время, просто я их не видел. 🤡

А теперь самое интересное:

В тот день, когда я их получил, они стоили 150+ тысяч рублей, а сегодня — около 17 тысяч.
Прозевал 130к, просто потому что вовремя не ткнул нужный переключатель в приложении. 🫠

Выходит, можно найти уязвимость в системе, но не найти кнопку в кошельке — и потерять в десятки раз больше, чем заработал.

В последнее время многие блогеры рекламируют один Telegram-бот, позиционируемый как «топовый VPN».

💻 Решил проверить в боте раздел «Kovalenko Case» — ящик с призами, который можно открыть после покупки VPN-ключа. С первой же проверки нашёл уязвимость типа IDOR, позволяющую крутить кейс от имени другого пользователя. Достаточно перехватить запрос и подставить чужой user_id.

Эксплуатировать эту уязвимость очень просто — с ней справится даже школьник, что делает возможным массовое злоупотребление.

Я отправил подробный репорт. Его рассмотрели, но вместо ответа просто по-тихому прикрутили защиту «для галочки», которую всё ещё можно обойти за пару кликов. Это не серьёзно. 👎

🛡 VPN — это про безопасность и доверие.
Если разработчик не реализует даже базовую проверку — о какой приватности может идти речь?

К слову о VPN: вот ещё одна полезная фишка 👍

Если выбрать локацию USA 🇺🇸
— YouTube начинает работать как у премиум-пользователей:
видео можно сворачивать и смотреть в фоне в режиме «картинка в картинке» 💬

Очень удобно, особенно если часто слушаешь YouTube параллельно с другими делами 🎧

Плати — если хочешь. Но можно и не платить 😂

Недавно, ковыряясь в коде одного из известных VPN-сервисов, наткнулся на любопытный эндпоинт. Судя по названию, он должен был выдавать бонусный VPN-ключ. Решил проверить — и да, всё сработало. Ключ активировался. Повторил — снова получил новый.

По сути, это оказался бесконечный источник бесплатных ключей. Буквально в один клик.⭐

Я написал владельцу: «Платите ли вы за найденные уязвимости?» В ответ — лаконичное «не платим». Даже не поинтересовались, что именно я нашёл. 🤤

Если бы на моём месте был кто-то менее этичный, он мог бы спокойно фармить ключи и продавать их за полцены. И спрос был бы, поверьте, большой.

Не сомневаюсь, что если баг не исправят, кто-то превратит его в источник дохода, а для владельца — билет в мир убытков. 📉