Тестировщик получил доступ к корпоративным сервисам Киевстар. Ему предложили всего $50
Пользователь Habr.com под ником Gorodnya рассказал о своем опыте участия в программе Bug Bounty от Киевстар. Оператор запустил ее в прошлом году, чтобы финансово вознаграждать «белых хакеров» за поиск уязвимостей. Программа работает в закрытом режиме — для сотрудничества и получения наград допущены только тестировщики, зарегистрированные на платформе BugCrowd.
Gorodnya, который ранее находил уязвимости в системах «Платинум Банка», «Альфа-банка Украина», «Ощадбанка» тоже зарегистрирован на BugCrowd. В один день ему пришло письмо от сотрудницы «Киевстар», ранее отвечавшей на его запрос.
Однако email-сообщение оказалось в папке «Спам» и было прислано на адрес, не совпадающий с указанным при регистрации аккаунта в BugCrowd. Внутри тестировщик нашел HTML-вложение со 113 вкладками. Часть из них не открывались по причине недоступности за пределами внутренней сети.
Но в одной находилась ссылка на файл со списком внутренних сервисов, которыми пользуются «Киевстар». Среди них были:
- Amazon Web Services
- Apple Developer
- Mobile Action
- App Annie
- Disqus
- Google Developers
- Windows Dev Center
- KBRemote
- JIRA
- Smartsheet
- PushWoosh
- TicketForEvent
- Samsung Developers
- доступ к CMS-системам сайтов bigdata.kyivstar.ua и hub.kyivstar.ua
- Gmail
- Zeplin
- Prezi
- Bitbucket
По словам автора, все логины и пароли хранились в незащищенном виде. В сервисах не была настроена двухфакторная аутентификация, благодаря чему Gorodnya легко получил к ним доступ. Тестировщик указывает:
Потеря доступа к таким сервисам любой цифровой компании является значительным ударом для бизнеса и репутации. Это намного хуже, чем просто какая-то уязвимость, это полный доступ. С помощью одной только учетной записи, например, в Apple Developer злоумышленник может сменить логин и пароль и загрузить свои сборки приложения или просто добавить себя в администраторы, оставив backdoor.
Тестировщик обратился за вознаграждением. Ему предложили $50. По его мнению, лишь официальная стоимость аккаунтов превышает $5800, а действия «Киевстар» обесценивают дальнейший труд по поиску уязвимостей. Он также ссылается на классификацию уязвимостей по приоритету.
Запись Gorodnya прокомментировал Виталий Султан, CDO «Киевстар», он также один из инициаторов программы Bug Bounty. По его словам, проблема возникла из-за невнимательности сотрудницы — она не обратила внимание на автозаполнение в почтовом клиенте. Сейчас она отстранена от дел, а хранение паролей в открытом виде стало «предметом отдельного разбирательства».
Султан добавил, что описанный случай не подпадает под условия Bug Bounty. Единственная статья, которой можно воспользоваться в данном случае, подразумевает выплату символического вознаграждения в $50. Султан также рассказал, что тестровщик якобы настаивал на выплате $5800 и угрожал написанием публичного поста: компания расценивает это как вымогательство. Тестировщик говорит, что его слова вырваны из контекста и не соответствуют действительности.
В комментарии для AIN.UA представители «Киевстар» уточнили:
Специалисты по кибербезопасности, согласно брифу программы, могут сообщать о найденных уязвимостях в программных продуктах посредством проверки кода, пентестов и других действий в рамках конкретного сервиса (mobile & web apps). Соглашаясь участвовать в программе Bug Bounty, специалист принимает условия ее проведения. При подтверждении найденной уязвимости специалист получает денежное вознаграждение, в соответствии с условиями программы. Любые другие действия не являются основанием для выплаты вознаграждения.
В данном случае специалист не прилагал усилий для поиска уязвимостей в программных продуктах. Он хотел получить вознаграждение за случайно попавшую ему в руки информацию. Настаивая на денежной компенсации, специалист выражал намерение опубликовать об этом статью на известном ресурсе. Этот инцидент не имеет негативных последствий для клиентов компании.
За весь период действия программы Bug Bounty от Киевстар было выплачено всего 110 вознаграждений. Это составило 27 155 $. Среднее вознаграждение – 250 $, а наивысшее на этот момент было выплачено в размере 1 500$.
Напомним, ранее на AIN.UA выходил материал о том, кто такие «белые хакеры» и как они работают.
Комментарии | 18
Пацан к успеху шел, не получилось, не фартануло (с)
Мораль сей басни такова — «Учите персонал как работать с секретными внутренними документами, пилять!»
Київстар все правильно зробили (майже). Чувак не знаходив жодної вразливості, йому просто випадково (!!!!!) прийшли на пошту паролі, так що це взагалі не підпадає під програму Bug Bounty.
Могли правда дати хоча б трохи більше лише аби люди не продавали цю інфу.
Скинь мне на почту доступы к своим сервисам а вдруг работник Киевстар номер карты с датой окончания и CVV.
Обещаю, никому не расскажу
Как же. Уязвимость во внутренних процессах компании, хранение секретной информации в незащищенном виде и тд.
сначала крайней сделали чудачку, которая явно этот файл с открытыми паролями никуда не заливала и явно не отвечала за IT безопасность. а потом обгадили пацана, который если бы захотел, то спокойно бы продал ссылку с паролями за N биткоинов, и никто, в том числе, и этот СDО (это у них главный по дизайну что ли ?) об этом бы и не узнал. Зато теперь вся страна ржет над откровенной тупостью их безопасников 😉 походу это не CDO, а CTO, который пытается прикрыть свою голую ж@#у, обгадив людей, не имеющих никакого отношения к его явному несоответствию занимаемой должности. кучмостар, он такой кучмостар…
Это уже Фридман Стар, который скинул Литовченко и поставил Чернышева.
ну эт понятно. показательно, что CTO оценил потерю репутации компании (и скорей всего своего кресла) ровно в $50 😉
Киевстар жлобы ебаные.
Нужно было найденую уязвимость продать в даркнете.
И пусть сраный Быдлостар заплатит дороже, раз жлобы ебаные.
P.S. Кстати, ещё не поздно. 😉 Ну, хотя бы найти другую уязвимость и продать.
Бля, надо было себя всюду админом добавить.
В случаи такой хуйни выложил бы документ в открытый доступ а лучше продал бы данные за крипту.
Мне тебя жаль.
Bug Bounty
в данном случае принципы у чувака или лохонулся (в твоем понимании) — не знаю.
но поверь, далеко не все жлобы и не все только о том и думают, как бы урвать да наебать.
мне тебя жаль (с)
То что пароли в открытом доступе виновата девочка стажерка)))
Скоро виявиться, що вона взагалі була звільнена ще до того як стався витік і взагалі #ихтамнет. ))
Это не уязвимость, по условиям эта ситуация не попадает под программу Bug Bounty. Это тупо везение, можно сказать парню на шару отправили на почту 50$
Это уязвимость. Она не обязательно техническая.
Ну не попадает и что?
Ущерб мог бы быть на сотни тысяч, от слива одного такого файлика.
Ага, все как обычно. Кто-то куда-то и ничего толкового. Не думаю, что это проблема самой компании, в большинстве случаев просто халатность кого-то из сотрудников и то это не точно, или парниша сам захотел прославиться и напридумывал. Сложно вериться, что огромная компания не позаботилась о своей безопасности.
Продал бы в даркнете получил бы минимум 100к зеленых
68% уязвимостей ИТ безопасности компаний — ето человеческий фактор, и над етой уязвимостью должни работать безопастники компании. Только за етот ОДИН лик — всех безопасников на публичную казнь на костер надо отправить, СТО — фмонастир, в лучшем случае. Или ктонить наивно полагает, что уязвимости безопасности только в коде бивают? Чувак показал (обнаружив случайно или нет) офигенную дирищу! Только из благодарности, что он оказался порядочним человеком — КС надо било виплатить ему адекватное вознаграждение (он еще и не много запросил). Ущерб от продажи етой критичной информации — действительно сотни тисяч етонотов, а может и более, в зависимости от того, как потом хакери ею распорядились би.
к сожалению, выбор у нас не большой, да и игроки посредственные. в Киевстаре нигогда не обслуживался, но во время перезда «Водафона» в Винницу отношение к людям такое же «нас не волнует твоё мнение будь ты внутри или снаружи».