某二线土狗bot平台漏洞的自证贴。
内容太长,刚才被吞了很多,改发文章吧。
10月2日的时候,发现某二线土狗bot的漏洞,虽联系众多分部负责人,客服,群admin。起先我询问有没有赏金计划。东南亚客服说没有。漏洞直接给他们了。后来国内某负责人确实给了我赏金,150U,我说我不要,公开了,又补给我850U。我的目的也不是为了敲诈勒索。你的后台上一条广告7000U。漏洞怎么着都值10000U。接下来就出了 #DEXX 这个事情,我估计 #DEXX 也是倒霉,监守自盗的可能性也不大。人家守着每天数十万抽水,安安稳稳就把钱挣了。用的着去做这些事? 跑题了,这几天听闻说有人在找我,我联系过你们数次,没有一个技术人员回复我,后台简单的下线了。思来想去,还是在推特上部分公开。咨询了余总,想让他给我做个见证。我所有的设备指纹都可以公开给你们。利用细节我上传到了谷歌云盘上边。文档加密了,万一出事也有个见证。我不愿意哪天你们平台要是也像DEXX一样,还要我出来背锅。sha256hash,cd9ef006136a8b0f2a545c0ab156bc76a9a261301d315bc61acdaef2c5a408dd.https://drive.google.com/file/d/1PBGf55JneeXcbzg8haqZj0cIwkiXvL_-/view?usp=drive_link…. 解压密码是你们曾经的Admin_024的密码。 各种管理密码看似复杂,实则明文保存在数据库里边。后台框架应该是FLASK+POSTGRES(AWS Aurora),也是可以绕过的哈。不知道你们搞那么复杂的密码是为了啥,只是为了防止暴力破解??我菜鸡一个,懂的不多。希望各大机器人越做越好吧,安全方面的东西,多多上心。你们一天的手续费,头部安全实验室都能拉出来给你们干私活了。请尽快自查。本文目的是为了以后可能的纠纷自证,与其他任何人无关。感谢余总的建议,借用余总说的话,“虽然我并不是证明你肯定没问题,但是事实是你确实主动和我分享了相关信息”。我所求的也不过是万一哪天你那平台出了问题,我能自证。再次感谢余总建议和耐心。好怀念乌云,以上。
————————
发现了某二线冲土狗平台的漏洞,可能暴露私钥,可以读取你的剪贴板内容等等就不一一列举了。基于 #DEXX 的事件。我不想背锅,在联系了余总@evilcos,听取了建议之后。写下这篇文章作为证据。借用余总的话,“虽然我并不是证明你肯定没问题,但是事实是你确实主动和我分享了相关信息”。我所求的不过是将来万一出事了,我能有自证的证据。再次感谢余老大。
————————
Cos(余弦)😶🌫️说:
某个挺知名的 bot 平台,被这位白帽 @taoonchain发现了相关漏洞,可能导致私钥泄露,白帽反馈了,但似乎因为漏洞赏金事宜引发了些争议。白帽担心这个 bot 平台未来出现类似 DEXX 被黑的风险,到时候调查到他当时留下的痕迹,于是找我来自证清白。
我给白帽说,我没法证明你的清白,但是至少你在主动和我分享相关信息。
这位白帽的担忧不无道理,这个行业太乱了,许多安全做得烂,不仅平台,玩家们安全意识及经验也普遍欠缺。一旦爆了雷,鬼知道会不会引火烧身。
为了避免不中立,我这也特别注个:我提的白帽这两个字在这不一定就是白帽,我还没法验证谁对谁错,谁对多谁对少。如果未来这个 bot 平台被黑了,我这有这位白帽分享的一些信息,可供验证。
真有意思。
漏洞披露中没点名就不必来要求点名了,莫非点了这个出来,其他的就不会有类似问题?只要是平台帮你保管私钥,这些私钥怎么存储怎么使用对你来说就是黑盒的,你怎么验证?你不还是得被迫信任?否则就别用?你既然选择使用,选择私钥在平台托管,肯定得做好最差打算。
+ There are no comments
Add yours