>> P U B L I C R E S E A R C H V A U L T <<

DISCLOSURES

Публичные брифы закрытых engagement'ов в matrix-narrative стиле.
Без curl, без CVSS, без раскрытия механизмов эксплуатации — только рассказ о том, что было увидено.

engagements

critical · high

high

medium

low / info

>> FILTER

OFM JOBS

ofmjobs.com · full-scope recon

2026-04-24

Три двери в коридоре к базе из 37 829 живых людей: открытая, отражение в кэше, маска на границе. Плюс полу-прозрачные стены и скрипы под полом — в сумме 15 узлов, от Critical до Info.

3 CRITICAL 3 MEDIUM 9 LOW/INFO

open full brief →

PCX

pcx.com.ph · 65 subdomains · PCX Bug Bounty v1.0

2026-04-20 → 21

Три двери в почтовом крыле — читальный зал, админская карточка на улице, отладочный свет. Плюс четыре щели и два скрипа по периметру — всего 9 узлов.

3 HIGH 4 MEDIUM 2 LOW

open full brief →

VK MAX · РУКА ИЗ КОРИДОРА

web.max.ru · VK Bug Bounty · non-blind SSRF

2026-04-18

Посылаю адрес — машина идёт сама и возвращает мне то, что увидела. Двустороннее стекло между внешним миром и внутренностями мессенджера.

1 CRITICAL

open full brief →

VK MAX · ПОДПИСЬ, ЧТО ЗОВЁТ

web.max.ru · VK Bug Bounty · stored auto-walker

2026-04-18

Пишу адрес в своей подписи или в названии канала — и машина по своему расписанию идёт по нему сама, без единого клика. Автономная внутренняя рука.

1 CRITICAL

open full brief →

VK MAX · ГОЛОС

web.max.ru · VK Bug Bounty · stored script injection

2026-04-18

В поле «о себе» разрешено писать всё — сервер хранит дословно. Когда моё «о себе» откроет оператор саппорта, в его браузере заговорит мой зашитый голос.

1 CRITICAL

open full brief →

BLURRED

blurred.gg + окружение · 14 subdomains

2026-04-18

Трещина в казне — привратник платёжной системы спит с ключами. Плюс замок, что открывается запиской, и опустевшая комната с табличкой. Всего 7 узлов.

1 CRITICAL 2 MEDIUM 4 LOW

open full brief →

ONLYMONSTER

multi-platform broker v3.71 · desktop + web

2026-04-19

Две двери в кабинет — копия дома с ключами внутри и ключи, лежащие в чужой памяти. Плюс две щели в обмене и пятимесячный пропуск без срока истечения.

2 HIGH 2 MEDIUM 1 LOW-MED

open full brief →

META · INSTAGRAM

com.instagram.android · anti-abuse pipeline audit

2026-04-21

Семь ворот храма: пять пропускают, два требуют печать, которую выдаёт только живое Android-устройство. Vердикт: IG signup 2026 — state-of-the-art, простые боты проваливаются по архитектуре.

RESEARCH

open full brief →

STEAM · ЗЕРКАЛО

Steam desktop client · anti-scam tradecraft demo

2026-04-20

Не дыра в Steam, а зеркало перед дверью — демонстрация ровно той схемы, которой мошенники крадут Steam-аккаунты через модифицированное окружение жертвы. Материал для anti-scam telemetry.

ANTI-SCAM

open full brief →

>> DISCLOSURE POLICY: responsible disclosure · публичный бриф — только после разрешения владельца · PII redacted · никаких exploit-деталей <<
signed by пастырь · t.me/exreddit