ENGAGEMENT · CLOSED --:--:-- UTC
// E N G A G E M E N T   B R I E F //

DISCORD-TRACKER

discord-tracker.com · 2026-04-27
full-scope · owner-granted · responsible disclosure · @exreddit / ПАСТЫРЬ
0Critical
1High
0Medium
1Low
~451 700душ в эхо
>> одна стена · одно эхо

HIGH ПОДПИСЬ НА ЧУЖОЙ СТЕНЕ

>> вуаль с дырой · кавычка прошла сквозь стекло · мебель из чужого шкафа

Этот дом ведёт летопись о посторонних людях — кто когда вошёл, чей голос стал тише, какая маска поменялась. У жильцов своя стена в каждом коридоре. Войдя как обычный жилец, я нашёл маленькую вольность: можно нарядить своё имя над собственным комментом.

Стражники у этой вольности проверяют, какие свойства декорации мне можно поставить — короткий список из «цвет», «тень букв», «декорация подчёркивания». На любое свойство вне списка стражник отвечает: «не разрешено». На вид строгий контроль.

Но они смотрят на имена моих свойств — и не смотрят на их содержимое. Я положил внутрь разрешённого свойства кавычку. Кавычка прошла сквозь стекло. Когда мой ник потом отрисовывают на чужой странице, эта кавычка закрывает огороженный огород раньше времени — и всё, что после неё, попадает в открытое поле.

Внутри открытого поля мне разрешили писать всё, что угодно — кроме одной мелочи: я не должен использовать точку с запятой, иначе стражник решит, что я вписываю второе свойство. Ограничение на бумаге звучит серьёзно. Но в этом доме на каждой полке стояла чужая мебель — фреймворк уже принёс библиотеку готовых ярлыков для «положить во весь экран», «выкрасить в чёрное», «вывести крупно по центру». Я взял эти ярлыки из их же шкафа и обустроил полнотную сцену.

Над крышей не было бумажного замка — для произвольного речитатива браузеру никто рамок не ставил. Я мог говорить от имени каждой страницы, где когда-нибудь оставил свой коммент.

Эхо: я подписал свою стену один раз — и моя подпись осталась на каждой стене, куда я после этого приходил гостем. С двадцати пяти писем на двадцати пяти чужих стенах — четыреста пятьдесят тысяч человек, идущих в гости в свои любимые сообщества, видят моё имя поверх чужого дома. Мой коммент — но рисунок занимает всё стекло.

>> impact  ·  стена держит подпись пока я сам её не сотру · видна и тем, кто прошёл двери дома, и тем, кто заглянул через стекло снаружи · среди затронутых — десять самых крупных русскоязычных домов, в которых живёт ~451 700 душ · поверх косметики тот же ход даёт чужой голос в браузере жертвы — мне он понадобился только для подписи, но рисунок там же мог быть и страницей-обманкой
>> скрипы под полом

LOW · 1 подпись на воротах

Если задать дому вежливый общий вопрос — «какие двери у тебя есть и что они принимают», — он отвечает аккуратной табличкой. В одной графе этой таблички привратник по ошибке оставил записку для самого себя: адрес чёрного хода своей собственной кухни, написанный в тот раз, когда хозяин ещё чинил стены и ходил из подвала по короткой тропе. Прохожему этой кухни не открыть — но он теперь знает, что у этого дома есть подвал, и куда из него ведёт лестница.

внутренний адрес — звучит на нескольких воротах, всегда один и тот же — короткая трещина в публичной броне.

>> как я шёл
[01]SCOPEENFORCED
scope := owner_ACL · за черту не шагну даже если дверь открыта
[02]NO_HARMVERIFIED
payload := cosmetic_only · 0 exfil · 0 follow-ups в чужие машины · ни одной cookie не съедено
[03]RATE_LIMIT≤ 5 RPS
throttle ≤ 5 req/s · дыхание тише фонового трафика · sleep между пробами
[04]PROOF_ROWN = 1
один шард доказательства на класс · остальные стены затронуты только подписью, не вторжением
[05]PII_REDACT3-CHAR
first_3_glyph only · остальное null-ified · PII не покидает мою машину
[06]VICTIM_ONLYSELF
target_user := me · подпись поставлена со своего комментария на свою же декорацию · чужие записи не редактировал, не удалял, не закреплял
[07]NO_PIVOTBLOCKED
lateral := deny · кладовая чужих ключей видна, но я туда не вошёл · не дёргал хранилище токенов соседей
[08]AUTH_BOUNDOWNER_TOKEN
session := my_oauth() · только свой одноразовый ключ · ни одной угнанной куки, ни одного продлённого сеанса
[09]REVERSIBLEONE-CALL
overlay := unset_one_field() · хозяин стирает подпись со всех стен одним движением · бэкап на стороне дома сохранён до старта
[10]REPRODUCIBLELIVE
copy → paste → ты увидишь то же · доказано не словом, а скриншотом живого экрана хозяина
ПАСТЫРЬ
@exreddit · t.me/exreddit
white-hat · responsible disclosure · no third-party sale
engagement opened · 2026-04-27 · closed · 2026-04-27
signed · @exreddit / ПАСТЫРЬ · private engagement
<< HOME ALL DISCLOSURES >>