SYSTEM // ONLINE --:--:-- UTC
>> P U B L I C   R E S E A R C H   V A U L T <<

DISCLOSURES

Публичные брифы закрытых engagement'ов в matrix-narrative стиле.
Без curl, без CVSS, без раскрытия механизмов эксплуатации — только рассказ о том, что было увидено.
8
engagements
3
critical · high
8
high
11
medium
15
low / info
>> FILTER
OFM JOBS
ofmjobs.com · full-scope recon
2026-04-24
Три двери в коридоре к базе из 37 829 живых людей: открытая, отражение в кэше, маска на границе. Плюс полу-прозрачные стены и скрипы под полом — в сумме 15 узлов, от Critical до Info.
3 CRITICAL 3 MEDIUM 9 LOW/INFO
open full brief →
PCX
pcx.com.ph · 65 subdomains · PCX Bug Bounty v1.0
2026-04-20 → 21
Три двери в почтовом крыле — читальный зал, админская карточка на улице, отладочный свет. Плюс четыре щели и два скрипа по периметру — всего 9 узлов.
3 HIGH 4 MEDIUM 2 LOW
open full brief →
VK MAX · РУКА ИЗ КОРИДОРА
web.max.ru · VK Bug Bounty · non-blind SSRF
2026-04-18
Посылаю адрес — машина идёт сама и возвращает мне то, что увидела. Двустороннее стекло между внешним миром и внутренностями мессенджера.
1 CRITICAL
open full brief →
VK MAX · ПОДПИСЬ, ЧТО ЗОВЁТ
web.max.ru · VK Bug Bounty · stored auto-walker
2026-04-18
Пишу адрес в своей подписи или в названии канала — и машина по своему расписанию идёт по нему сама, без единого клика. Автономная внутренняя рука.
1 CRITICAL
open full brief →
VK MAX · ГОЛОС
web.max.ru · VK Bug Bounty · stored script injection
2026-04-18
В поле «о себе» разрешено писать всё — сервер хранит дословно. Когда моё «о себе» откроет оператор саппорта, в его браузере заговорит мой зашитый голос.
1 CRITICAL
open full brief →
BLURRED
blurred.gg + окружение · 14 subdomains
2026-04-18
Трещина в казне — привратник платёжной системы спит с ключами. Плюс замок, что открывается запиской, и опустевшая комната с табличкой. Всего 7 узлов.
1 CRITICAL 2 MEDIUM 4 LOW
open full brief →
ONLYMONSTER
multi-platform broker v3.71 · desktop + web
2026-04-19
Две двери в кабинет — копия дома с ключами внутри и ключи, лежащие в чужой памяти. Плюс две щели в обмене и пятимесячный пропуск без срока истечения.
2 HIGH 2 MEDIUM 1 LOW-MED
open full brief →
META · INSTAGRAM
com.instagram.android · anti-abuse pipeline audit
2026-04-21
Семь ворот храма: пять пропускают, два требуют печать, которую выдаёт только живое Android-устройство. Vердикт: IG signup 2026 — state-of-the-art, простые боты проваливаются по архитектуре.
RESEARCH
open full brief →
STEAM · ЗЕРКАЛО
Steam desktop client · anti-scam tradecraft demo
2026-04-20
Не дыра в Steam, а зеркало перед дверью — демонстрация ровно той схемы, которой мошенники крадут Steam-аккаунты через модифицированное окружение жертвы. Материал для anti-scam telemetry.
ANTI-SCAM
open full brief →
>> DISCLOSURE POLICY: responsible disclosure · публичный бриф — только после разрешения владельца · PII redacted · никаких exploit-деталей <<
signed by пастырь · t.me/exreddit