tessék, itt a remek alkalom, hogy megszivasd a gaz multit: jelentsd föl a NAIH-nál.
Ezt a srácnak kellett volna megtennie, miután megtalálta a második biztonsági rést, mert neki lettek volna rá konkrét bizonyítékai. Multiék gyorsabbak voltak.
Nem. A T közölte, hogy eltekintenek a feljelentéstől első alkalommal (de a későbbiekben nem), és adtak egy ajánlatot a srácnak a munkájáért. Ő ennél jóval "gálánsabb" ajánlatra vágyott, amire a T azt mondta, hogy nem.
Megélhetésiként valószínűleg soha nem fogod megérteni, mit jelent az, hogy valaki jobbá szeretne tenni valamit, továbbá felelősséget érez multiék helyett is egy milliókat érintő biztonsági problémát illetően. Emellett, nyilván azért nem fogadta el az ajánlatot, mert szarért-húgyért akarták dolgoztatni, ahogy a BKK rendszert is valószínűleg gyakornokokkal, meg hivatásos StackOverflow copy-pasterekkel csináltatták meg, azért lett olyan, amilyen. Ha ez a helyzet (márpedig 99%, hogy ez a helyzet), akkor a srácot gyakorlatilag megalázták multiék. Ezek után nem hiszem, hogy kötelessége lett volna elfogadni az ajánlatot és aztán úgy táncolni, ahogy a multiék fütyülnek. Viszont, a biztonsági probléma továbbra is érdekelte, ezért gyakorlatilag multiéknak ingyen dolgozva feltárt egy sokkal súlyosabb hibát, amit már a köz érdeke is megkíván és utóbbi felülírja multiék érdekeit. Erre multiék véráldozatot csináltak belőle, és feljelentették.
szerinted a második körben,a mikor ugyanott ment be, miért tudták kvázi azonnal begyűjteni
Azért, mert undorító, költségoptimalizációs, spúrkodós hozzáállással csak annyira futotta nekik, hogy figyeljék, ki használja ki az adott sebezhetőséget. Nyilván kevesebb idő és pénz volt elindítani egy loggert, mint átalakítani úgy a rendszert, hogy ne legyen támadható. Egyébként, a T álláspontjából ki is derül, miért ezt csinálták.
A szakemberek ingatták a fejüket, és azt mondták: „Igen, igen, kellő kitartással valóban elképzelhető ez, de ez valószínűleg kevés embernek jutna eszébe.”
Más kérdés, ha multimosdatás közben szándékosan a homokba dugod a fejed és nem vagy képes elfogadni, hogy a T-t marhára nem érdekelte ez a biztonsági rés, de a srác közbenjárására kíváncsiak lettek, ki használja ki. Mert itt is fontosabb volt a nagyvállalati idealizmusok leszármazott fattyú módszereit alkalmazni (kockázatelemezni), mintsem a józan eszüket használni. Pedig, ha legalább egy, a biztonságra valamit adó ember lett volna a T-nél, akkor már csak szimpla igényességből is befoltozták volna. Persze, nem lep meg, ha a befektetőlogikás, mindent pénzben és ár-érték-megtérülés arányokban mérő fősodratú mérnök uraságod nem fogja ezt sem soha megérteni.
viszont odafigyeltek az adott hibás eszközre/rendszerre
Ami képességet a srác korábbi munkájának köszönhetnek. Erre való tekintettel is minimum etikátlan, amit művelt a T, hogy azt a tudást, amivel a srác felruházta őket, végül ellene fordították, mert túl spúrok voltak megfizetni a további munkáját.