Белый хакер получил 50 долларов от «Киевстара» за обнаруженную ошибку

Белый хакер получил 50 долларов от «Киевстара» за обнаруженную ошибку

Пользователь ресурса о технологиях в бизнесе habr.com нашел уязвимость в административном доступе к сервисам «Киевстара». С домена компании на электронную почту мужчины пришло письмо с HTML-вложением, в котором оказались закладки с рабочего компьютера сотрудника «Киевстара».

«Понимая, что доступ с правами администратора – это critical, я на следующий день быстро создал и отправил в «Киевстар» запрос на том же Bugcrowd-е. Позже получил в ответ «Спасибо», очки репутации и 50 долл. за доступ к аккаунтам, общая стоимость которых официально превышает 5800 долл.», – написал пользователь Gorodnya.

В разговоре с «КРАПКОЙ» Gorodnya заметил, что потеря доступа к таким сервисам любой цифровой компании – это значительный удар по бизнесу и репутации.

«Ситуация действительно из ряда вон выходящая: с логинами и паролями можно было прекратить или нарушить работу многих сервисов «Киевстара». С помощью одной только учетной записи, например, в Apple Developer злоумышленник может сменить логин и пароль и загрузить свои сборки приложения или просто добавить себя в администраторы, оставив backdoor. В файле были почти все данные (адреса, логины и пароли) для доступа ко всей инфраструктуре и сервисам, используемым компанией», – рассказал «КРАПКЕ» пользователь Gorodnya.

«Если говорить об Apple или Google Developer, то злоумышленники, имея такие доступы, могли бы загрузить новые версии мобильных приложений с вредоносными функциями (вирусами). Это чревато последствиями как для клиентов, так и для самого мобильного оператора», – дополнил наш собеседник.

В данных, полученных пользователем, оказалась ссылка на незащищенный файл, в котором были полностью заполненные колонки URL of the service, Login и Password. Получается, что сотрудник «Киевстара» случайно отправил человеку, который занимается исследованиями в сфере компьютерной безопасности, вложение вида Bookmarks_July.2018.html, а по сути, свои рабочие закладки.

«Еще раз подумав, а не фейк ли это, не honeypot ли, я попробовал войти в несколько сервисов, ожидая преграды в виде двухфакторной аутентификации. Но ее не было, и я вошел. Вошел как админ», – пишет Gorodnya.

Таким образом, он получил доступ к сервисам «Киевстара» с правами администратора, отправил  мобильному оператору запрос и был крайне возмущен ответом «Спасибо» и наградой в размере 50 долл.

Примечательно, что два года назад пользователь того же ресурса harb.com – dinikin – написал пост о том, как нашел уязвимость в личном кабинете «Киевстара». Уязвимость позволяла добавлять к себе в аккаунт без верификации любой номер телефона «Киевстар» и полностью управлять им. Вскоре проблему решили. В благодарность автору подключили 4 гигабайта интернета на три месяца. Спустя два года мобильный оператор запустил программу Bug Bountу, с помощью которой люди могут получать признание и вознаграждение, находя ошибки, особенно те, которые касаются эксплойтов и уязвимостей.

Консультант по кибербезопасности Егор Папышев на своей странице в Facebook пишет, что награда пользователя Gorodnya должна составлять минимум 3 тыс. долл. «Киевстар успешно запустил программу Bug Bounty, понеслись нормальные выплаты за найденные уязвимости. Казалось бы, дожили до белых пирогов. Но дно со свистом вырвало, и оно покатилось куда-то буквально на днях. Зарепортил, значит, исследователь о проблеме. И получил за это spasibo и 50 долл. Американских. Это примерно 1350 грн. Что я могу сказать по этому поводу? Kyivstar недоплатил человеку, по осторожным оценкам, 2950 долл. Возможно, и больше, но меньше просто никак», – пишет Егор Папышев.

Компания «Киевстар» прокомментировала эту ситуацию и заверила, что оператор обеспечивает защиту своих информационных систем и персональных данных клиентов: «Соглашаясь участвовать в программе Bug Bounty, специалист принимает условия ее проведения. При подтверждении найденной уязвимости специалист получает денежное вознаграждение в соответствии с условиями программы. Любые другие действия не являются основанием для выплаты вознаграждения. В данном случае специалист не прилагал усилий для поиска уязвимостей в программных продуктах. Он хотел получить вознаграждение за случайно попавшую ему в руки информацию. Настаивая на денежной компенсации, специалист выражал намерение опубликовать об этом статью на известном ресурсе. Этот инцидент не имеет негативных последствий для клиентов компании. За весь период действия программы Bug Bounty от «Киевстар» было выплачено всего 110 вознаграждений. Это составило 27 155 долл. Среднее вознаграждение – 250 долл., а максимальное на данный момент было выплачено в размере 1500 долл.»

Напомним, что ранее «КРАПКА» писала о недостаточном уровне кибербезопасности государственных учреждений.

ЧИТАЙТЕ ТАКЖЕ: Казанова, грибник и любитель котиков: кого назвали украинскими хакерами

Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *