09.52.52 «Київстар» запропонував користувачеві $ 50 за знайдені паролі до корпоративних систем, той залишився незадоволений | |
Ми часто пишемо про солідні суми грошових винагород, які пропонують (і виплачують) міжнародні технологічні компанії на кшталт Google і Microsoft за уразливості, виявлені в їх продукції. Не так давно така ж програма з'явилася і у найбільшого українського мобільного оператора «Київстар», називається вона - Bug Bounty і передбачає виплату винагород за уразливості, знайдені в веб-сервісах і додатках компанії. Максимальна сума винагороди в рамках цієї програми - $ 3000.. І ось вчора на ресурсі "Хабрахабр" користувач під ніком Gorodnya розповів, як виявив серйозну уразливість, але замість щедрої винагороди, яку, як вважав, заслуговував, йому запропонували скромну виплату в розмірі $ 50.
Білий хакер докладно описує Суть в тому, що користувач отримав на електронну пошту лист з домену «Київстар» з HTML-вкладенням «Bookmarks_July.2018.html», що містить закладки з браузера робочого комп'ютера співробітника компанії. Всього в файлі було 113 закладок. Яке було здивування розробника, коли серед інших він виявив посилання, яке вело на незахищений файл на сервері компанії з таблицею, що містить всі дані (адреси, логіни і паролі) для отримання доступу до всієї інфраструктури і сервісів, що використовуються компанією. Автор підкреслює, що ніякої додаткового захисту в вигляді двофакторної аутентифікації не було, завдяки чому він міг входити в ту чи іншу службу з правами адміністратора. Також він наводить список сервісів, до яких мав доступ:
Усвідомлюючи наскільки важливою є знахідка, розробник вже на наступний день створив і відправив запит через платформу Bugcrowd. Незабаром він отримав у відповідь подяку, окуляри репутації і пропозиція отримати $ 50.
Учасник програми Bug Bounty підкреслює, що з урахуванням потенційного збитку для бізнесу, репутації і клієнтів він очікував отримати більше, ніж $ 50, за таку велику «вразливість». «За допомогою одного лише облікового запису, наприклад, в Apple Developer зловмисник може змінити логін і пароль і завантажити свої збірки додатку або просто додати себе в адміністратори, залишивши backdoor», - пише розсерджений користувач. До речі кажучи, проблеми було присвоєно найвищий за класифікацією оператора пріоритет P1 (Sensitive Data Exposure: Critically Sensitive Data - Password Disclosure).
Скромний розмір винагороди можна пояснити тим, що сам файл явно потрапив до користувача помилково. Тобто, по суті, це не вразливість як така, а звичайна недбалість. Власне, це підтверджує і офіційний коментар «Київстар». Відповідаючи на повідомлення одного з користувачів в Facebook, компанія відзначає, що в даному випадку ніяких зусиль для пошуку вразливостей не було докладено, і фахівець просто «хотів отримати винагороду за випадково потрапила йому в руки інформацію». З іншого боку, цінність цієї інформації явно вище, ніж $ 50, а сама по собі ситуація піднімає питання інформаційної безпеки і показує, що у «Київстар» з цим є великі проблеми. Нижче наводимо коментар компанії повністю:
| |
|
Всього коментарів: 0 | |