Один из пользователей криптовалютной биржи Poloniex обнаружил технический баг в системе безопасности и направил письмо о нем в службу поддержки, но так и не дождался от нее ответа.
Рассказ о том, как пользователю удалось обойти двухфакторную идентификацию при выводе средств с биржевого счета, опубликован на портале Reddit. Юзер с никнеймом Poloniex2FASucks написал, что
«Я смог вывести криптовалюту со счета без доступа к двухфакторной идентификации, как для логина, так и для подтверждения вывода средств. Я снял их со счета, воспользовавшись паролем из слитой базы данных. <…> Если вы открываете вашу электронную почту в клиенте, который позволяет просмотр изображений в предварительном режиме, вы подтверждаете исходящую транзакцию, открыв электронную почту».
По словам пользователя, он рассказал о баге в письме службе поддержки Poloniex, но спустя 60 дней так и не дождался ответа.
«Я предполагаю, что они никак не заинтересованы в ее починке и делают это намеренно».
Позднее он сделал апдейт записи, сообщив, что информация об уязвимости была продана.
«Я получил несколько сообщений от других пользователей, обнаруживших баги, которым [из службы поддержки] ответили, что им не заплатят никакой премии за обнаружение уязвимости, потому что они «воспользовались» ей для того, чтобы доказать ее наличие. А мне могут предъявить иск, как это произошло с другими искателями багов, поэтому я решил вместо этого продать информацию об уязвимости».
Средства, полученные от продажи, будут направлены на благотворительность и поддержку сообщества разработчиков. 20% будут пожертвованы на проекты с открытым исходным кодом, 75% будут переданы в благотворительный фонд, принимающий биткоины, оставшиеся 5% пользователь оставит себе.
