Nícolas Marchetti перетворює Engenharia з Telecomunicações на Inatel, на Santa Rita з Sapucaí. Ele присвятив три дні тестуванню в рамках програми X Rewards. Аналіз виявив серйозний недолік, який безпосередньо вплинув на фінансові операції платформи. Студент надіслав звіт через платформу HackerOne і чекав на оцінку компанії.
Винагорода досягла 5000 доларів США, що еквівалентно приблизно 25 000 бразильських реалів за обмінним курсом на той період. Marchetti вже знайшов інші вразливості в X, але це був перший, який спричинив значний платіж. Додаткові звіти Dois вважалися дублікатами та не дали жодних значень.
Перевірка Processo компанією
X класифікував збій як серйозний після внутрішнього аналізу. Корекція відбулася за короткий проміжок часу, як повідомив сам дослідник. Marchetti використовував засоби моніторингу трафіку, щоб визначити точку експлуатації. Ele змінив конкретні параметри та довів можливість отримання неправомірної фінансової вигоди.
Компанія зберегла технічні деталі в таємниці. Студент також не може розкрити точний метод через положення про конфіденційність. Таким чином, Mesmo поділився на LinkedIn, що робота вимагає наполегливості та повторного тестування.
- Фінансова винагорода Primeira, отримана в програмі баунті
- Valor додаткові $100 за секунду незначна вразливість
- Звіти Dois класифікуються як дублікати без оплати
Perfil дослідника та академічного контексту
Marchetti є постійним студентом Instituto Nacional у Telecomunicações. Заклад готує фахівців з фокусом на мережах і системах зв’язку. Студент підкреслив, що програми винагороди вимагають серйозних технічних знань і постійного творчого підходу.
Ele планує продовжувати участь у подібних ініціативах. Цей досвід підсилює важливість незалежних дослідників у виявленні цифрових ризиків. Професіонали Outros з усього світу також надсилають звіти до X через той самий канал.
Impacto практична корекція
Платформа усунула пролом після підтвердження команди безпеки. Usuários не зазнав збитків, оскільки збій залишався конфіденційним протягом усього процесу. Справа демонструє, що технологічні компанії підтримують відкриті канали для відповідального звітування.
Programas, як і HackerOne, зв’язує компанії із зовнішніми експертами. Практичний Essa скорочує час між виявленням проблеми та виправленням. Marchetti підкреслив, що наполягання на тестуванні було вирішальним для позитивного результату.
Próximos кроки учня
Студент університету має намір поглибити вивчення інформаційної безпеки. Ele вже отримав визнання в дослідницькому співтоваристві. Винагорода є початковою віхою у вашій професійній траєкторії.
Компанії Outras також підтримують подібні програми, відкриті для учасників з будь-якої країни. Модель заохочує пошук недоліків до того, як їх використають злочинці. Marchetti продовжує документувати свої відкриття в професійних профілях.