A bolha bounty tinha que, conhecer e dar mídia para o @snillxsec.
Um mlk de 17 anos (fez aniversário esses dias) que, já catou uns bounty em várias empresas inclusive no Google. E apesar do foco dele ser o meio profissional e corporativo, o mlk manja mt e merece mt!
The price of a 0-day just hit zero. Literally. It's on GitHub 🫠
The interesting part is not the chaos. It is the price signal.
High value working exploits used to be a seven-figure asset. Brokers, escrow, quality assurance, a whole market built on the assumption that finding a 0-day was hard, rare, and expensive. That cost of discovery was the real defense.
Now someone is dropping them on GitHub for free, and not even keeping the CVE credit. The marginal value of a vulnerability collapsing toward zero. When finding the next one is cheap, no single exploit is worth hoarding, monetizing, or coordinating. You just burn it.
This looks like noise, and it is one of the clearest market signals we have that the economics of security have flipped. The asymmetry that protected "secure enough" systems for decades was never the patch. It was the cost of finding the flaw. AI is removing that cost. This account didn't create that reality. It made it visible.
It's simply a "Coordinated disclosure minus the coordination"... The uncomfortable version: when supply is effectively infinite, coordination stops being worth anyone's time.
There is no safety in being uninteresting anymore. The only real exit is cryptographic: provable execution, hardware-rooted trust, validity proofs. Things that make an attack impossible rather than merely uneconomical, because "uneconomical" is exactly the property we just lost.
Stay safe. Stay honest about your trust assumptions.
Se você usa AI para procurar vulnerabilidades, possivelmente o maior problema que você enfrenta (sabendo ou não) eh contexto.
fazer a AI entender o contexto real da aplicação e ter o melhor reasoning em cima daquilo é bem difícil. Colar a URL e falar "ache falhas" geralmente não dá certo.
contexto nesse sentido geralmente é sobre arquitetura, regras de negócio, permissões, relações entre objetos, fluxos, comportamento esperado, o que já foi testado etc
às vezes o problema não é nem falta de informação, mas diluição de contexto (quando tua AI fala que esgotou seu contexto e começa a compactar)
geralmente, quando eu não to usando o meu hackbot, eu crio uma sessão com um agente principal (que seria tipo um "orquestrador"), e falo pra ele invocar agentes pra fazer tasks específicas e retornar o resultado do que foi pedido pro agente principal
tipo analisar um fluxo, testar certo tipo de falha, comparar comportamento com diferentes tipos de permissões etc
esses agentes menores, especialistas, retornam só o resultado que de fato importa pro orquestrador.
Isso economiza a janela de contexto do agente principal ao mesmo tempo que vai aumentando o entendimento dele sobre o alvo
eh um conceito simples, mas pode ajudar uma galera!!
>credencial vazada no osintleak há pelo menos meia década
>senha é o proprio cpf do usuario
>sem MFA, sem whitelist de IP, sem exigir VPN pra acessar, sem alerta de novo dispositivo, sem politica de troca de senha, sem rate-limiting, sem nenhuma confirmação antes de enviar o alerta
>captcha era literalmente "2+2=?" no HTML, trivial de burlar
>site com debug mode ativo, cospe parte do código fonte, da query feita no pgsql e as variaveis de ambientes (tb com creds internas) na tela de erro 5xx
>SQLi e xss em literalmente qualquer parametro
>js com lista de endpoints e arquivos acessíveis
>nível easy se fosse no hack the box
>o cara não manja absolutamente nada de programação ou hacking
>nem se deu o trabalho de fuçar os requests do site pra procurar algo mais cabuloso (q nao duvido nada que encontraria)
>nem é script kiddie pq ele mesmo afirma q não manja nada
>simplesmente logou com login e senha (q estavam publicamente acessíveis) e usou o site como um operador normal
>menor de idade, agiu sozinho, sem intuito de obter, adulterar ou destruir dados
vai dar em nada 😹
o 'ataque' foi absolutamente trivial, qualquer pessoa leiga curiosa conseguiria achar essas credenciais em bot de telegram e logar no site
o que me surpreende de fato é uma infraestrutura dessas, com acesso a esse tipo de funcionalidade, ter esse nível pífio de segurança
e na real eu nem sei pq eu to surpreendido. nao dá pra esperar nada diferente disso vindo do governo
@1Iucas De forma completamente autônoma realmente é difícil. O recomendado é o human-in-the-loop. No final desse artigo do Haddix tem vários vídeos legais sobre
https://t.co/edgN9P1P18
fiquei sabendo que tem vendedor de curso mentindo que sou aluno dele e por isso peguei meus bountys
KKKKKKKKKKKKKKKKKKKKKKKKKKKKKkkkkkkKKKKKKKKK cria vergonha na cara rapaz nao me misturo com essa nojeira
nao consegue ganhar dinheiro com bounty e por isso vende curso
horroroso
Honestly, what is this ? I got a response from @github support team. So here after legal Security Research and PoC's is not allowed on GitHub ?
I'm Completely got disappointment by @github and @Microsoft@MsftSecIntel .
In what ways i distribute and share malware. Can anyone tell me if there is a mistake from my side, did i share 0 days, vulnerabilities, direct binaries or full exploit chain that harm users ? NONE ?
is posting Legal source codes and tools that are made of public PoCs are wrong ? there are thousand of full chain real expoits that bypasses EDRs, C2s that evades security solutions, phishing kits that bypasses MFA of Microsoft out there in @github , if that is legal then why cant this simple publically made poc can't be in the github ?
I have replied regarding my statements, please don't disappoint younger legal windows security researchers like this. I have some little hope on @github@Microsoft@MsftSecIntel .
I have a little hope. So Please don't make me loose on @github & @Microsoft & @MsftSecIntel .
Ticket ID: #4440743
Will be waiting for your kind response. Thank you.
https://t.co/FTpHwmDK8D
#github #microsoft #security #research
❗️🚨 BREAKING: Security researchers are now handing Nightmare-Eclipse vulnerabilities for free, in what looks like both a show of support and a reaction to how Microsoft treats researchers. First up: "Bitskrieg," violates Secure Boot trust and fully bypasses BitLocker.
It seems aimed squarely at Microsoft's recent blog, where the company said its Digital Crimes Unit would bring cases against threat actors "and those that enable their criminal activity," language many researchers read as a threat pointed at them.
This tshirt I made for Symantec Vulnerability Research, a program predating Google Project Zero by nearly a decade where we’d discover, report, & disclose vulnerabilities we found in other people’s software, is 20 years old.
Still holds true: Don’t hate the Finder, hate the vuln