Как я создала аккаунт с именем NULL и мне стали приходить уведомления о покупки и продлении доменов других пользователей

В качестве предисловия:

Я очень люблю программу багбаунти Timeweb. Да у них много легаси, о которых они знают, но искать и взаимодействовать с командой ИБ приятно. Она очень выросла со старта.

История бага:

При регистрации имя пользователя создается автоматически. Сделали фичу смены логина. Я завела там баги, к сожалению о них оказалось уже знают. Но у меня остался аккаунт с username="NULL".

Прошло пол года с тестирования

И мне на почту стали приходить письма.

За несколько дней мой почтовый ящик завалили письмами.

Я посмотрела по Whoami и обнаружила, что сообщение приходи после покупки или продления доменов.

Вот так случайно, был найден и заведен баг.

В чем была причина?

Разработчик прокоментировал, что там было 2 причины:

• Портал вместо логина клиента "null" отправлял null
• Недостаток валидации

Ссылка на раскрытый репорт:

https://bugbounty.bi.zone/reports/6777

Боян - это уже было

Похожий отчет был сдан в qiwi https://hackerone.com/reports/487296

Похожая история произошла с американским исследователем в области безопасности Джозефом Тартаро, когда он решил сделать номер "NULL" своей машине и начал получать штрафы всех машин с не распознанными номерами. https://habr.com/ru/companies/ua-hosting/articles/463859/

В качестве вывода

• Некоторые баги в багбаунти находятся случайно - главное вовремя заметить
• Вот такие бывают забавные ошибки валидации