Привіт!😊

У своєму житті я мав різних друзів: депресію, стрес, чорні плями, прищі і навіть історії про розриви стосунків😑. Але знаєте, кого я не мав? Роботи.

Перебуваючи в ролі так званого невдахи, я почав свій день з подачі заявок на роботу через сторінки кар’єрних можливостей різних компаній.

Тоді мій лінькуватий розум прошепотів: "А чому б не перевірити сам портал вакансій?"

Для виявлення витоків чутливих даних я використав сайт:

🔗 LeakIX

Я випадково спробував доменне ім’я example.com.

LeakIX виявився потужним інструментом, здатним виявляти витоки чутливих даних, таких як конфігураційні файли Git, плагіни Apache та інше.

На моє здивування, я знайшов конфігураційний файл Git компанії Accenture, в якому були витоки чутливої інформації, як-от API-ключі, імена баз даних, паролі та конфігураційні файли.

Я швидко завантажив файли за допомогою розширення DOTGIT:

📂 Вміст папки: index, config, HEAD, objects тощо.

Я одразу повідомив компанії про проблему, сподіваючись на великий виграш…😃

Але несподівано стався поворот подій — хтось уже повідомив про вразливість.

Мій звіт було позначено як дублікований. Тому замість BOOOMMM це більше нагадувало UHHHMMMMMM. 😅

Але я спробував, я навчився, і я готовий до наступного полювання!

Дякую за вашу увагу! 🚀

Зв’язатися зі мною!

• LinkedIn
• Instagram: rev_shinchan
• Gmail: [email protected]

EnnamPolVazhlkai😇

#BugBounty, #CyberSecurity, #InfoSec, #Hacking, #WebSecurity, #CTF.

Перекладено з: When a Tiny Sensitive Leak Gave Me a Big $$$ Surprise😶‍🌫️