Новости Новости 01.08.2018 в 13:07 comment

«Киевстар» предложил пользователю $50 за найденные пароли к корпоративным системам, тот остался недоволен

author avatar
https://itc.ua/wp-content/uploads/2022/04/vova-96x96.jpeg *** https://itc.ua/wp-content/uploads/2022/04/vova-96x96.jpeg *** https://itc.ua/wp-content/uploads/2022/04/vova-96x96.jpeg

Володимир Скрипін

Заместитель главного редактора, руководитель отдела новостей

Мы часто пишем о солидных суммах денежных вознаграждений, которые предлагают (и выплачивают) международные технологические компании вроде Google и Microsoft за уязвимости, выявленные в их продукции. Не так давно такая же программа появилась и у крупнейшего украинского мобильного оператора «Киевстар», называется она – Bug Bounty и предполагает выплату вознаграждений за уязвимости, найденные в веб-сервисах и приложениях компании. Максимальная сумма вознаграждения в рамках этой программы — $3000. И вот вчера на ресурсе «Хабрахабр» пользователь под ником Gorodnya рассказал, как обнаружил серьезную уязвимость, но вместо щедрого вознаграждения, которого, как считал, заслуживал, ему предложили скромную выплату в размере $50.

Белый хакер подробно описывает свои обиженные чувства историю, приводя более ранние примеры, когда «Киевстар» не самым лучшим образом поступал со специалистами по безопасности, помогавшими оператору повысить защищенность своих сервисов и продуктов. Вы можете прочесть его претензию полностью по ссылке в конце новости, мы же сосредоточимся на главном.

Суть в том, что пользователь получил на электронную почту письмо с домена «Киевстар» с HTML-вложением «Bookmarks_July.2018.html», содержащим закладки из браузера рабочего компьютера сотрудника компании. Всего в файле было 113 закладок. Каково было удивление разработчика, когда среди других он обнаружил ссылку, которая вела на незащищенный файл на сервере компании с таблицей, содержащей все данные (адреса, логины и пароли) для получения доступа ко всей инфраструктуре и сервисам, используемым компанией.

«Киевстар» предложил пользователю $50 за найденные пароли к корпоративным системам, тот остался недоволен

Автор подчеркивает, что никакой дополнительной защиты в виде двухфакторной аутентификации не было, благодаря чему он мог входить в ту или иную службу с правами администратора.

Также он приводит список сервисов, к которым имел доступ:

  • Amazon Web Services
  • Apple Developer
  • Mobile Action
  • App Annie
  • Disqus
  • Google Developers
  • Windows Dev Center
  • KBRemote
  • JIRA
  • Smartsheet
  • PushWoosh
  • TicketForEvent
  • Samsung Developers
  • CMS дляkyivstar.ua и hub.kyivstar.ua
  • Gmail
  • Zeplin
  • Prezi
  • Bitbucket

Осознавая насколько важной является находка, разработчик уже на следующий день создал и отправил запрос через платформу Bugcrowd. Вскоре он получил в ответ благодарность, очки репутации и предложение получить $50.

Онлайн-курс Frontend-разробник від Powercode academy.
Курс на якому ти напишеш свій чистий код на JavaScript, попрацюєш із різними видами верстки, а також адаптаціями проектів під будь-які екрани. .
Зарееструватися

Участник программы Bug Bounty подчеркивает, что с учетом потенциального ущерба для бизнеса, репутации и клиентов он ожидал получить больше, чем $50, за столь крупную «уязвимость».

«С помощью одной только учётной записи, например, в Apple Developer злоумышленник может сменить логин и пароль и загрузить свои сборки приложения или просто добавить себя в администраторы, оставив backdoor», – пишет раздосадованный пользователь.

«Киевстар» предложил пользователю $50 за найденные пароли к корпоративным системам, тот остался недоволен

Кстати говоря, проблеме был присвоен наивысший по классификации оператора приоритет P1 (Sensitive Data Exposure: Critically Sensitive Data — Password Disclosure).

Скромный размер вознаграждения можно объяснить тем, что сам файл явно попал к пользователю по ошибке. То есть, по сути, это не уязвимость как таковая, а обычная халатность.

Онлайн-курс Frontend-разробник від Powercode academy.
Курс на якому ти напишеш свій чистий код на JavaScript, попрацюєш із різними видами верстки, а також адаптаціями проектів під будь-які екрани. .
Зарееструватися

Собственно, это подтверждает и официальный комментарий «Киевстар». Отвечая на сообщение одного из пользователей в Facebook, компания отмечает, что в данном случае никаких усилий для поиска уязвимостей не было приложено, и специалист просто «хотел получить вознаграждение за случайно попавшую ему в руки информацию».

С другой стороны, ценность этой информации явно выше, чем $50, а сама по себе ситуация поднимает вопрос информационной безопасности и показывает, что у «Киевстар» с этим есть большие проблемы.

Ниже приводим комментарий компании полностью:

«Киевстар обеспечивает защиту своих информационных систем и персональных данных клиентов. Для усовершенствования работы некоторых сервисов Киевстар с 2017 года реализует программу Bug Bounty. Специалисты по кибер-безопасности, согласно брифа программы, могут сообщать о найденных уязвимостях в программных продуктах посредством проверки кода, пентестов и др в рамках конкретного сервиса (mobile & web apps). Соглашаясь участвовать в программе Bug Bounty, специалист принимает условия ее проведения. При подтверждении найденной уязвимости специалист получает денежное вознаграждение, в соответствии с условиями программы. Любые другие действия не являются основанием для выплаты вознаграждения. В данном случае специалист не прилагал усилий для поиска уязвимостей в программных продуктах. Он хотел получить вознаграждение за случайно попавшую ему в руки информацию. Настаивая на денежной компенсации, специалист выражал намерение опубликовать об этом статью на известном ресурсе. Этот инцидент не имеет негативных последствий для клиентов компании. За весь период действия программы Bug Bounty от Киевстар было выплачено всего 110 вознаграждений. Это составило 27 155 $. Среднее вознаграждение – 250 $, а наивысшее на этот момент было выплачено в размере 1500$»

Источник: habr

Продолжается конкурс авторов ИТС. Напиши статью о развитии игр, гейминг и игровые девайсы и выигрывай профессиональный игровой руль Logitech G923 Racing Wheel, или одну из низкопрофильных игровых клавиатур Logitech G815 LIGHTSYNC RGB Mechanical Gaming Keyboard!


Loading comments...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: