- Сообщения
- 65
- Реакции
- 45
- Продажи
- 2
- Покупки
- 1
- Кешбек
- 1.26$
- Истец
- #1
Lu Gang создал новый арбитраж №87:
Arbitration:Арбитраж №87
Истец: @Lu Gang
Ответчик: @Cryptogram
Сумма: 17000 USDT
Дополнительные сведения:
Сделка проводилась через Гарант?: Нет
Telegram: @CryptoGramBots
Подробности: ****************************
ПЕРВАЯ ПРЕТЕНЗИЯ
****************************
В админ панели сервиса Cryptogram (далее дашборд, панель), предоставленной для управления магазином, присутствовала уязвимость в механизме назначения прав доступа новым сотрудникам.
Суть уязвимости заключалась в следующем: оператор, имеющий право создавать новые аккаунты сотрудников, мог при их регистрации назначать полный перечень прав, доступных в системе, включая те, которыми сам оператор не обладал.
Указанная уязвимость позволила оператору при создании аккаунтов курьеров:
1. назначить им права доступа к разделу настройки и редактирования выплат;
2. предоставить доступ к смене кошелька для получения выплат;
3. получить доступ к информации, которая была недоступна оператору в рамках его собственных прав.
В результате оператор:
1. Изменил кошелёк для получения выплат.
2. Незаконно получил 0,07500286 BTC (на данный момент эквивалентно 5000$)
3. Скомпрометировал закрытую информацию магазина (базу данных 20000 покупателей, все адреса с витрины на сумму свыше 500к рублей).
4. Использовал полученные данные для открытия собственного магазина и переманивания сотрудников.
Фактические обстоятельства:
Оператор выполнял функции по приёму, обучению курьеров и последующей работе с ними.
Доступа к разделу редактирования и настройки выплат у него не было.
Подтверждением отсутствия соответствующих прав на аккаунте оператора является переписка с администратором сервиса, в которой скриншотом подтверждается перечень прав оператора.
Тем не менее, используя описанную выше уязвимость, при создании нового аккаунта курьера, оператор смог выдать ему все имеющиеся права доступа, в том числе к разделу выплат и смены кошельков. В дальнейшем это позволило осуществить хищение средств, а так же розничных и мини оптовых адресов которые были на витрине.
Благодаря этому оператор смог открыть свой магазин и переманить к себе курьеров которые писали ему для трудоустройства в мой магазин. Всё это сильно ударило по моему магазину и его доходам. В добавок ко всему, сотруднику, совершившему хищение, амдином сервиса была предоставлена отдельная панель для открытия собственного магазина.
Важно отметить, что аккаунты курьеров создавались исключительно для закрепления заказов и адресов. Данные для входа в эти аккаунты самим курьерам не передавались. Это администратор сервиса мог проверить в логах панели и скорее всего сделал это, когда в дальнейшем разбирался с моей ситуацией.
Коммуникация с администратором сервиса:
После выявления инцидента мной было направлено подробное описание произошедшего администратору сервиса.
Первоначально администратор не захотел разбираться в проблеме и утверждал, что смена кошелька произошла через мой личный аккаунт вследствии ненадлежащего обеспечения безопасности с моей стороны. Но после предоставления объяснений и описания механизма уязвимости администратор заморозил выплату за второй день работы и вернул эту сумму мне. Однако в возмещении уже похищенных средств он отказал и заблокировал мой аккаунт телеграм удалив всю переписку.
Дополнительные обстоятельства:
Позже админ сервиса убрал эту уязвимость не возместив убытки, не извинившись, не предприняв ничего для того, что бы хоть как то возместить мне мои потери связанные с упущением с их стороны. Так же, несмотря на предоставленные доказательства причастности данного сотрудника к хищению денежных средств и информации о том, что сервис предоставил ему отдельную панель под магазин , администратор сервиса:
1. Отказался рассматривать представленные материалы;
2. Заблокировал два моих аккаунта в Telegram с которых я пытался решить с ним сложившуюся ситуацию.
3. предоставил отдельную админ панель для сотрудника укравшего у меня средства, курьеров и товар.
ВЫВОД:
Совокупность представленных доказательств подтверждает:
1. Наличие уязвимости в системе назначения прав
2. Использование данной уязвимости для незаконного получения доступа к финансовым инструментам
3. Компрометацию адресов с витрины магазина
4. Отказ администрации сервиса от компенсации утерянных по их вине средств.
Потери магазина:
1. Украденный при помощи уязвимости средства 0,07500286 BTC (или 5000$)
2. Украденные адреса находящиеся на витрине на момент хищения средств 525000 рублей (примерно 0,140037343 BTC или 9400$)
3. Слив базы данных 20000 покупателей
**************************************
ИТОГО 0,215040203 BTC или 14315$
Эта ситуация привела к гораздо большим потерям, чем я могу подсчитать, так как были украдены не только средства и розничные адреса, но и оптовые адреса, база данных покупателей и новые сотрудники. Всё это почти полностью парализовало работу магазина и если разбирать детально, какими последствиями одна узявимость в панели обернулась для магазина, то сумма убытков перевалит за 10 миллионов. В подтверждение моим словам дневной оборот в среднем в 300к, который видно на скринотах со страницы выплат в панели. Так же, там видно что в дни после инцедента доход упал в 2 раза.
На основании изложенного считаю требования о возмещении причинённого ущерба обоснованными.
****************************
ВТОРАЯ ПРЕТЕНЗИЯ
****************************
Описание претензии:
11го февраля наш дашборд (она же панель управлени, админ панель) стал недоступен для входа. Этот дашборд являлся пунктом управления магазином в телеграмме, а так же, отдельным сайтом нашего магазина. 12го февраля амдинистратор отписал мне, что сервак упал и они его восстанавливают. Позже, 15го феврался, со слов администратора, выяснилось ,что доступ к серверу где находился наш дашборд они потеряли, а бэкапов они не имели. В связи с этим мы потеряли базу данных покупателей (свыше 35 тысяч человек), данные о сотрудниках, все моментальные адреса, статистику и бухгалтерию продаж. А так же, вероятно, была скомпрометривана вся информация находящаяся на сверверах, так как бот, который был прикреплен к нашей панели продолжает функционировать и принимать оплату, но адреса, со слов покупателей, он уже не выдает. Это заставляет задуматься о безопасности всех сотрудников и покупателей магазина. Так же, это нанесло удар по репутации магазина.
На мою просьбу возместить хотя бы адреса которые были в панели администратор ответил: " Упущение не с нашей стороны тут технически вина хостера. по компенсации могу предложить панель + баланс на панель."
Сотрудничать с этим сервисов после всех упущений которые были с их стороны и отсутсвием решений по прошлым ситуаиям у меня нет. Возмещать убытки он отказывается.
Магазин потерял:
1. Адреса с витрины на сумму 177290 руб (примерно 0.03608 втс или 2400$)
2. База данных покупателей свыше 35000 человек
3. Все данные о статистике продаж, статистике покупателей, бухгалтерии и тд
4. В результате упущения со стороны сервиса была подорвана репутация и имидж магазина, что отразиться на его дальнейшей работе.
На данный момент через бот все еще можно пополнить средства на товар, но никакого товара покупатель не получит, потому что управление ботом утеряно. Оповестить всех покупателей тоже не представляется возможным, так как их база утеряна. Так же от бота приходят рассылки, для стимуляции продаж.
В связи с этим, прошу возместить:
1. Рыночную стоимость утерянных адресов, так как адреса утеряны вместе со всеми расходами на их доставку по тайникам и соответсвующей прибылью, а так же придется заного набирать базу покупателей и терять деньги на рекламу, рассылки и тд.
На витрине было:
меф кристалл
1г х 7шт (27650 руб)
5г х 5шт (55000 руб)
Шишки
10г х 4шт (58000 руб)
Гаш
025г х 8шт (14240 руб)
Экстази
5шт х 4шт (22400 руб)
*********************
итого 177290 руб (примерно 0.03608 втс или 2400$)
2. Оплату за аренду 1 месяца, так как после оплаты сервер был доступным лишь 2 дня. (0,00206205 втс или 137$)
-------------------------------------------------
ИТОГО 0,03814205 BTC или 2538$
-------------------------------------------------
Трудно дать оценку потерям которые приведены ниже
3. База данных свыше 35000 покупателей
4. Репутационные потери и имидж магазина
6. Требования:
Возместить все убытки которые произошли в связи с описанными и подтвержденными выше сиутациями.
Сумма компенсации за оба случая 0,253182253 BTC (0,215040203 BTC+0,03814205 BTC). Это примерно 17000$
Из-за тех особенностей форума указать сумму возмещения в биткойне менее 1шт не представляется возможным, поэтому перевожу в USDT.
7. Доказательства (скриншоты или логи переписки):
По первой ситуации: Скриншоты и видеоподтверждение предоставлю в чат с арбитром и амдинистрацией форума, так как там имеется конфедециальная информация.
Arbitration:Арбитраж №87
Истец: @Lu Gang
Ответчик: @Cryptogram
Сумма: 17000 USDT
Дополнительные сведения:
Сделка проводилась через Гарант?: Нет
Telegram: @CryptoGramBots
Подробности: ****************************
ПЕРВАЯ ПРЕТЕНЗИЯ
****************************
В админ панели сервиса Cryptogram (далее дашборд, панель), предоставленной для управления магазином, присутствовала уязвимость в механизме назначения прав доступа новым сотрудникам.
Суть уязвимости заключалась в следующем: оператор, имеющий право создавать новые аккаунты сотрудников, мог при их регистрации назначать полный перечень прав, доступных в системе, включая те, которыми сам оператор не обладал.
Указанная уязвимость позволила оператору при создании аккаунтов курьеров:
1. назначить им права доступа к разделу настройки и редактирования выплат;
2. предоставить доступ к смене кошелька для получения выплат;
3. получить доступ к информации, которая была недоступна оператору в рамках его собственных прав.
В результате оператор:
1. Изменил кошелёк для получения выплат.
2. Незаконно получил 0,07500286 BTC (на данный момент эквивалентно 5000$)
3. Скомпрометировал закрытую информацию магазина (базу данных 20000 покупателей, все адреса с витрины на сумму свыше 500к рублей).
4. Использовал полученные данные для открытия собственного магазина и переманивания сотрудников.
Фактические обстоятельства:
Оператор выполнял функции по приёму, обучению курьеров и последующей работе с ними.
Доступа к разделу редактирования и настройки выплат у него не было.
Подтверждением отсутствия соответствующих прав на аккаунте оператора является переписка с администратором сервиса, в которой скриншотом подтверждается перечень прав оператора.
Тем не менее, используя описанную выше уязвимость, при создании нового аккаунта курьера, оператор смог выдать ему все имеющиеся права доступа, в том числе к разделу выплат и смены кошельков. В дальнейшем это позволило осуществить хищение средств, а так же розничных и мини оптовых адресов которые были на витрине.
Благодаря этому оператор смог открыть свой магазин и переманить к себе курьеров которые писали ему для трудоустройства в мой магазин. Всё это сильно ударило по моему магазину и его доходам. В добавок ко всему, сотруднику, совершившему хищение, амдином сервиса была предоставлена отдельная панель для открытия собственного магазина.
Важно отметить, что аккаунты курьеров создавались исключительно для закрепления заказов и адресов. Данные для входа в эти аккаунты самим курьерам не передавались. Это администратор сервиса мог проверить в логах панели и скорее всего сделал это, когда в дальнейшем разбирался с моей ситуацией.
Коммуникация с администратором сервиса:
После выявления инцидента мной было направлено подробное описание произошедшего администратору сервиса.
Первоначально администратор не захотел разбираться в проблеме и утверждал, что смена кошелька произошла через мой личный аккаунт вследствии ненадлежащего обеспечения безопасности с моей стороны. Но после предоставления объяснений и описания механизма уязвимости администратор заморозил выплату за второй день работы и вернул эту сумму мне. Однако в возмещении уже похищенных средств он отказал и заблокировал мой аккаунт телеграм удалив всю переписку.
Дополнительные обстоятельства:
Позже админ сервиса убрал эту уязвимость не возместив убытки, не извинившись, не предприняв ничего для того, что бы хоть как то возместить мне мои потери связанные с упущением с их стороны. Так же, несмотря на предоставленные доказательства причастности данного сотрудника к хищению денежных средств и информации о том, что сервис предоставил ему отдельную панель под магазин , администратор сервиса:
1. Отказался рассматривать представленные материалы;
2. Заблокировал два моих аккаунта в Telegram с которых я пытался решить с ним сложившуюся ситуацию.
3. предоставил отдельную админ панель для сотрудника укравшего у меня средства, курьеров и товар.
ВЫВОД:
Совокупность представленных доказательств подтверждает:
1. Наличие уязвимости в системе назначения прав
2. Использование данной уязвимости для незаконного получения доступа к финансовым инструментам
3. Компрометацию адресов с витрины магазина
4. Отказ администрации сервиса от компенсации утерянных по их вине средств.
Потери магазина:
1. Украденный при помощи уязвимости средства 0,07500286 BTC (или 5000$)
2. Украденные адреса находящиеся на витрине на момент хищения средств 525000 рублей (примерно 0,140037343 BTC или 9400$)
3. Слив базы данных 20000 покупателей
**************************************
ИТОГО 0,215040203 BTC или 14315$
Эта ситуация привела к гораздо большим потерям, чем я могу подсчитать, так как были украдены не только средства и розничные адреса, но и оптовые адреса, база данных покупателей и новые сотрудники. Всё это почти полностью парализовало работу магазина и если разбирать детально, какими последствиями одна узявимость в панели обернулась для магазина, то сумма убытков перевалит за 10 миллионов. В подтверждение моим словам дневной оборот в среднем в 300к, который видно на скринотах со страницы выплат в панели. Так же, там видно что в дни после инцедента доход упал в 2 раза.
На основании изложенного считаю требования о возмещении причинённого ущерба обоснованными.
****************************
ВТОРАЯ ПРЕТЕНЗИЯ
****************************
Описание претензии:
11го февраля наш дашборд (она же панель управлени, админ панель) стал недоступен для входа. Этот дашборд являлся пунктом управления магазином в телеграмме, а так же, отдельным сайтом нашего магазина. 12го февраля амдинистратор отписал мне, что сервак упал и они его восстанавливают. Позже, 15го феврался, со слов администратора, выяснилось ,что доступ к серверу где находился наш дашборд они потеряли, а бэкапов они не имели. В связи с этим мы потеряли базу данных покупателей (свыше 35 тысяч человек), данные о сотрудниках, все моментальные адреса, статистику и бухгалтерию продаж. А так же, вероятно, была скомпрометривана вся информация находящаяся на сверверах, так как бот, который был прикреплен к нашей панели продолжает функционировать и принимать оплату, но адреса, со слов покупателей, он уже не выдает. Это заставляет задуматься о безопасности всех сотрудников и покупателей магазина. Так же, это нанесло удар по репутации магазина.
На мою просьбу возместить хотя бы адреса которые были в панели администратор ответил: " Упущение не с нашей стороны тут технически вина хостера. по компенсации могу предложить панель + баланс на панель."
Сотрудничать с этим сервисов после всех упущений которые были с их стороны и отсутсвием решений по прошлым ситуаиям у меня нет. Возмещать убытки он отказывается.
Магазин потерял:
1. Адреса с витрины на сумму 177290 руб (примерно 0.03608 втс или 2400$)
2. База данных покупателей свыше 35000 человек
3. Все данные о статистике продаж, статистике покупателей, бухгалтерии и тд
4. В результате упущения со стороны сервиса была подорвана репутация и имидж магазина, что отразиться на его дальнейшей работе.
На данный момент через бот все еще можно пополнить средства на товар, но никакого товара покупатель не получит, потому что управление ботом утеряно. Оповестить всех покупателей тоже не представляется возможным, так как их база утеряна. Так же от бота приходят рассылки, для стимуляции продаж.
В связи с этим, прошу возместить:
1. Рыночную стоимость утерянных адресов, так как адреса утеряны вместе со всеми расходами на их доставку по тайникам и соответсвующей прибылью, а так же придется заного набирать базу покупателей и терять деньги на рекламу, рассылки и тд.
На витрине было:
меф кристалл
1г х 7шт (27650 руб)
5г х 5шт (55000 руб)
Шишки
10г х 4шт (58000 руб)
Гаш
025г х 8шт (14240 руб)
Экстази
5шт х 4шт (22400 руб)
*********************
итого 177290 руб (примерно 0.03608 втс или 2400$)
2. Оплату за аренду 1 месяца, так как после оплаты сервер был доступным лишь 2 дня. (0,00206205 втс или 137$)
-------------------------------------------------
ИТОГО 0,03814205 BTC или 2538$
-------------------------------------------------
Трудно дать оценку потерям которые приведены ниже
3. База данных свыше 35000 покупателей
4. Репутационные потери и имидж магазина
6. Требования:
Возместить все убытки которые произошли в связи с описанными и подтвержденными выше сиутациями.
Сумма компенсации за оба случая 0,253182253 BTC (0,215040203 BTC+0,03814205 BTC). Это примерно 17000$
Из-за тех особенностей форума указать сумму возмещения в биткойне менее 1шт не представляется возможным, поэтому перевожу в USDT.
7. Доказательства (скриншоты или логи переписки):
По первой ситуации: Скриншоты и видеоподтверждение предоставлю в чат с арбитром и амдинистрацией форума, так как там имеется конфедециальная информация.
Последнее редактирование модератором:
