#news Пентестеры потыкали палочкой в чат-бот железнодорожной компании Eurostar, нашли пачку багов и попытались донести информацию через их BB. Но с коммуникацией у Eurostar оказалось, мягко говоря, не очень.
BB-программа у них есть, уязвимости под внедрение промптов и скрипты прямиком в чат-боте тоже нашлись. А вот компетентных людей для работы с этим нет. Об уязвимостях сообщили ещё в июне, писали повторно, связывались с CБ — ответа не было или пишите в BB. Последнюю в процессе отдали на аутсорс. И потеряли репорты со старой. Письмо всё же нашли, что-то починили, но про пентестеров забыли. В итоге они публикуют отчёт в блоге, запрашивают acknowledgment и… получают от пиджака из Eurostar “Это шантаж”. Пентестер, помни, когда ты ждёшь благодарность за раскрытые тобой по ВВ уязвимости, это шантаж! В следующий раз подумай дважды, прежде чем заморачиваться.
