Пользователь Habr.com под ником Gorodnya рассказал о своем опыте участия в программе Bug Bounty от Киевстар. Оператор запустил ее в прошлом году, чтобы финансово вознаграждать «белых хакеров» за поиск уязвимостей. Программа работает в закрытом режиме — для сотрудничества и получения наград допущены только тестировщики, зарегистрированные на платформе BugCrowd.
Gorodnya, который ранее находил уязвимости в системах «Платинум Банка», «Альфа-банка Украина», «Ощадбанка» тоже зарегистрирован на BugCrowd. В один день ему пришло письмо от сотрудницы «Киевстар», ранее отвечавшей на его запрос.
Однако email-сообщение оказалось в папке «Спам» и было прислано на адрес, не совпадающий с указанным при регистрации аккаунта в BugCrowd. Внутри тестировщик нашел HTML-вложение со 113 вкладками. Часть из них не открывались по причине недоступности за пределами внутренней сети.
Но в одной находилась ссылка на файл со списком внутренних сервисов, которыми пользуются «Киевстар». Среди них были:
- Amazon Web Services
- Apple Developer
- Mobile Action
- App Annie
- Disqus
- Google Developers
- Windows Dev Center
- KBRemote
- JIRA
- Smartsheet
- PushWoosh
- TicketForEvent
- Samsung Developers
- доступ к CMS-системам сайтов bigdata.kyivstar.ua и hub.kyivstar.ua
- Gmail
- Zeplin
- Prezi
- Bitbucket
По словам автора, все логины и пароли хранились в незащищенном виде. В сервисах не была настроена двухфакторная аутентификация, благодаря чему Gorodnya легко получил к ним доступ. Тестировщик указывает:
Потеря доступа к таким сервисам любой цифровой компании является значительным ударом для бизнеса и репутации. Это намного хуже, чем просто какая-то уязвимость, это полный доступ. С помощью одной только учетной записи, например, в Apple Developer злоумышленник может сменить логин и пароль и загрузить свои сборки приложения или просто добавить себя в администраторы, оставив backdoor.
Тестировщик обратился за вознаграждением. Ему предложили $50. По его мнению, лишь официальная стоимость аккаунтов превышает $5800, а действия «Киевстар» обесценивают дальнейший труд по поиску уязвимостей. Он также ссылается на классификацию уязвимостей по приоритету.
Запись Gorodnya прокомментировал Виталий Султан, CDO «Киевстар», он также один из инициаторов программы Bug Bounty. По его словам, проблема возникла из-за невнимательности сотрудницы — она не обратила внимание на автозаполнение в почтовом клиенте. Сейчас она отстранена от дел, а хранение паролей в открытом виде стало «предметом отдельного разбирательства».
Султан добавил, что описанный случай не подпадает под условия Bug Bounty. Единственная статья, которой можно воспользоваться в данном случае, подразумевает выплату символического вознаграждения в $50. Султан также рассказал, что тестровщик якобы настаивал на выплате $5800 и угрожал написанием публичного поста: компания расценивает это как вымогательство. Тестировщик говорит, что его слова вырваны из контекста и не соответствуют действительности.
В комментарии для AIN.UA представители «Киевстар» уточнили:
Специалисты по кибербезопасности, согласно брифу программы, могут сообщать о найденных уязвимостях в программных продуктах посредством проверки кода, пентестов и других действий в рамках конкретного сервиса (mobile & web apps). Соглашаясь участвовать в программе Bug Bounty, специалист принимает условия ее проведения. При подтверждении найденной уязвимости специалист получает денежное вознаграждение, в соответствии с условиями программы. Любые другие действия не являются основанием для выплаты вознаграждения.
В данном случае специалист не прилагал усилий для поиска уязвимостей в программных продуктах. Он хотел получить вознаграждение за случайно попавшую ему в руки информацию. Настаивая на денежной компенсации, специалист выражал намерение опубликовать об этом статью на известном ресурсе. Этот инцидент не имеет негативных последствий для клиентов компании.
За весь период действия программы Bug Bounty от Киевстар было выплачено всего 110 вознаграждений. Это составило 27 155 $. Среднее вознаграждение – 250 $, а наивысшее на этот момент было выплачено в размере 1 500$.
Напомним, ранее на AIN.UA выходил материал о том, кто такие «белые хакеры» и как они работают.