Привет всем! Сегодня хочу рассказать историю которая произошла совсем недавно. Я обошёл 2фа в сетке банков с общей капитализацией около 50В (их было около 20ти штук). Это был один первых успехов, так что наверное по этому вы сейчас можете это читать. Хочу поделиться своей неудачей, чтобы каждый понимал как делать при подобном успехе не стоит. Приятного чтения. И так, начал я с того что нашёл валидные лог пасы из паблика, изучил исходный код сайта и начал пробовать обойти. Пользовался самым базовым инструментом - Burp Suite. Ключевая задача была получить Done от сайта и Success от системы безопасности. Мне удалось это очень легко, просто перебирая challenge type value. Отправляю CheckSyncResult как текущее испытыние, вуаля. Я в шоке думаю что стал богатым. (ха-ха) Одно слово давало возможность войти в любой аккаунт только по юзернейму... Следующий этап был вывод средств. Аккаунтов было много, но в банках цифры на счету мало что значат на самом деле. Приходилось регать биржи на то же фио и выводить средства с холдом в неделю. Это проблема. Я выбрал самые неактивные аккаунты с наибольшим балансом и по 10 штук ставил на вывод. Каждый день был как снежный ком из денег. Но к сожалению дыру пофиксили спустя месяц, я даже не смог вывести цифру с 6-ю нулями. После этой ситуации, почти держа билет в новую жизнь, я вынес для себя несколько уроков: 1) Если обрёл успёх, не спеши. Это очень важный момент в жизни, стоит обдумывать каждый свой шаг. Со всеми участниками дела ещё раз утверди или обсуди условия сотрудничества, а потом точный план действий. 2) В моём случае мне не стоило сразу смотреть на аккаунты и скорее пытаться вывести с них деньги, нужно было открыть маркет и продавать "лопаты". 3) Если ты смог это сделать, то ты точно не должен заниматься рутиной. Расскажи метод доверенным людям, которые смогут выполнять монотонную работу за тебя. 4) Если ты не занят рутиной, то можешь себе позволить расскрывать потенциал своей уязвимости полностью, а не сломя голову бежать за "золотом". Высказавшись мне стало легче. Интересно что вы думаете по этому поводу, а так же если вы хотите новые истории или есть какие-то вопросы я открыт для всех :)