Сегодня мне должна улететь копеечка с H1 на Тинькофф. Напишу, все ли пройдет. В случае чего, будем думать над альтернативами.

Ну что ж, пока все печально. Выплата не ушла, осталась висеть на балансе. Причину не знаю, написал в поддержку – пока без ответа.

Добавил пересказ на русском в 2 словах

Пока что предлагаю прорабатывать список платформ или отдельных программ, с которыми можно будет работать в случае конца H1 для нас.

Есть Яндекс, само собой. У них вообще своя собственная ББ, без партнёрства с какими-то платформами. Сейчас вот получил инсайд от человека оттуда, что они не собираются прекращать работу.

Есть Mail.Ru. С ними непонятно, какой сейчас канал связи. Написал им просто в техподдержку. Если будет ответ – сообщу. Если у кого-то есть контакты в мейле – будет здорово, если вы сможете их подергать, чтобы узнать.

Есть ещё несколько приватных программ российских, они также на H1. Буду пытаться с ними связываться и узнавать, как они будут работать в новых реалиях.

Также нужно узнавать по Китаю. Тоже постараюсь.

Буду держать всех в курсе. Присоединяйтесь, кто хочет, к моим изысканиям)

Ушла выплата. Надеюсь, дойдет.

Кто-нибудь знает, что это?
bugbounty.ru

Пытаюсь с ними связаться, нифига не понятно. Также такие же сайты есть .by и .kz. Сейчас неплохо бы их попытаться расшевелить.

Дошла. Пока платят)

Но больше не будут.

Как я понял, будут закрыты все программы из "РФ, Беларуси и оккупированных регионов Украины".

Так как они тут "во имя добра и чтобы сделать веб безопаснее", они не будут прекращать принимать отчеты от исследователей из санкционных регионов.

Правда платить за них не будут, а будут перечислять все выплаты на благотворительность))))

Перевод вольный, если есть что добавить – жду в комментах.

Источник: https://twitter.com/Hacker0x01/status/1499186877978583040

Есть инсайд, что не все добросовестные западные компании этим довольны.

Так что есть небольшой шанс как минимум получить выплаты за уже отправленные, но пока неоплаченные репорты.

Если будет инфа – обязательно напишу.

Справедливость ради, в твиттере хакеруану тоже насовали.

Зачем мне этот канал

У меня всегда была какая-то тяга к тому, чтобы делится информацией. Некоторые коллеги и близкие люди считают, что у меня это неплохо получается. Что я могу простыми словами рассказывать сложные вещи и находить такое объяснение, которое поймет каждый.

В разное время у меня были мысли о преподавании в школе, создании своих курсов для детей или взрослых, даже обучении людей отдельно из глубинки страны. Потому что у меня есть такая позиция: если найти дело, которое тебе интересно - ты будешь одновременно счастливым и обязательно добьешься определенного материального успеха. А мне кажется, что на данный момент я такое дело для себя нашел. И мне хочется рассказывать о нем другим людям, рассказывать интересно, чтобы они также смогли его полюбить и при этом неплохо зарабатывать. Это первая причина.

Я считаю, что наш век - это время открытой информации. Всему, что я знаю и умею, я обязан открытым отчетам на HackerOne, блогам исследователей из разных стран, видео на YouTube и прочим публичным источникам. Так как у меня есть свой опыт, свои наработки и идеи - хочется также поделиться ими с другими людьми. Плюс, к сожалению, наша страна объективно отстает по количеству и качеству подобного контента. И я подумал, что я могу хотя бы немножко это исправить. Вот и вторая причина.

Если честно, на несколько дней я просто выпал из работы, хотя я не могу себе это позволить, так как есть куча обязательств перед моей семьей. А вот этот пост написать все-таки захотелось. И как-то это настраивает на рабочий лад, не смотря ни на что. Наверное это третья причина - иметь возможность просто иногда выговориться.

Не смотря на то, откуда вы, и как вы сейчас относитесь к России, если вам интересны мои посты, если они мотивируют вас, учат чему-то новому - я этому очень рад.

Сейчас пока проблемы со свободным временем, но буду стараться писать почаще.

Если хотите поддержать мой канал, можете стать его спонсором на
https://boosty.to/skavans (минимальная стоимость подписки - 99р в месяц).

По поводу того, где хантить сейчас.

Яндекс – это прям наше все на данный момент) Я его тут было в черный список заносил, но они в результате ответили и есть надежда, что будут пока работать. У них огромный скоуп и можно там засесть надолго. Да и платят достойно для РУ проги.

Bugcrowd – тут пока непонятно. Я им писал. Насколько понял их позицию – они не собираются просто блочить всех, как H1. Сказали, могут быть проблемы с выплатами в Россию, Беларусь и Украину. Из-за санкций. Попробую туда что-нибудь зарепортить в ближайшее время – отпишусь.

Google, FB – инфы нет, но есть надежда, что они не будут заниматься таким самоуправством и будут строго следовать санкциям. Но сказать сложно. Если есть инфа – делитесь плиз, буду шарить на канале.

Если кто не заметил, все русские проги на H1 на сегодня заблокированы. Они сейчас находятся в поиске альтернативных решений. Так что наверняка будут анонсировать запуск на других площадках или в виде self-hosted решений. Но надо ждать.

Есть еще вот такой список self-hosted программ: https://github.com/projectdiscovery/public-bugbounty-programs/blob/master/chaos-bugbounty-list.json
Наверняка тут тоже можно с кем-то поработать, но это требует изучения.

Если есть еще идеи – делитесь, также буду рад пошарить.

H1 переобулся в воздухе.

Оказывается, их CEO «оговорился». И деньги не будут принудительно направлены на благотворительность, а только с разрешения исследователя.

В комментах он написал, что они надеятся, что потом, когда конфликт закончится, они смогут их выплатить.

Такой цирк конечно.

Появился Sanctions FAQ на H1:
https://www.hackerone.com/sanctions-faq

Тезисно:
- проблемы с выплатами украинским исследователям ошибочны, будут предприниматься попытки все починить;
- выплаты российским и белорусским исследователям временно на паузе "в строгом соответствии с законодательством";
- выплаты будут перенаправлены на благотворительность только в случае прямого указания исследователя (приносим извинения за неточность в прошлых заявлениях).

В принципе ничего нового, но это уже официальная позиция, а не просто твит.

На данный момент выплаты в российские банки отклоняются со статусом rejection_verified.

Есть информация, что выплаты до сих пор можно получать в крипте через Coinbase:
https://news.1rj.ru/str/WebPwnChat/131201

Кто хочет – может попробовать. Для небольших сумм это вполне себе вариант, как мне кажется.

Только нужно учесть, что на данный момент невозможно легально получать оплату криптой в России за свои услуги согласно Закону о Цифровых Финансовых Активах и Цифровой Валюте. Это просто-напросто запрещено.

Однако, сейчас идут обсуждения на этот счет. Возможно, в скором будущем это станет легальным способом получения оплаты.

P.S.: речь о России, в Беларуси это разрешено, насколько я понимаю.

Получил письмо от Bugcrowd.

Говорят, что могут быть проблемы в перечислении платежей в Россию, Украину и Беларусь. Но эмбарго нет (соответственно нет и законного запрета).

Поэтому всем ресерчерам из данных регионов при проблемах с оплатой рекомендуют обращаться на support@bugcrowd.com для помощи.

Звучит неплохо, но как по факту – информации пока нет.

И позиция Intigriti.

Мы не останавливаем работу с российскими исследователями. Так как Swift и Paypal приостановили операции в России и других связанных регионах, мы не можем быть уверены, что платежи дойдут куда надо.

В связи с этим мы приняли решение временно не совершать платежи на аккаунты, с которыми, как нам кажется, могут быть проблемы.

https://kb.intigriti.com/en/articles/6059051-important-information-regarding-intigriti-s-response-to-the-russian-invasion-of-ukraine