DVI

Субота, 18.08.2018, 12.59.08
Головна » 2018 » Серпень » 5 » «Київстар» запропонував користувачеві $ 50 за знайдені паролі до корпоративних систем, той залишився незадоволений
09.52.52
«Київстар» запропонував користувачеві $ 50 за знайдені паролі до корпоративних систем, той залишився незадоволений
      Ми часто пишемо про солідні суми грошових винагород, які пропонують (і виплачують) міжнародні технологічні компанії на кшталт Google і Microsoft за уразливості, виявлені в їх продукції. Не так давно така ж програма з'явилася і у найбільшого українського мобільного оператора «Київстар», називається вона - Bug Bounty і передбачає виплату винагород за уразливості, знайдені в веб-сервісах і додатках компанії. Максимальна сума винагороди в рамках цієї програми - $ 3000.. І ось вчора на ресурсі "Хабрахабр" користувач під ніком Gorodnya розповів, як виявив серйозну уразливість, але замість щедрої винагороди, яку, як вважав, заслуговував, йому запропонували скромну виплату в розмірі $ 50.

Білий хакер докладно описує свої скривджені почуття історію, приводячи більш ранні приклади, коли «Київстар» не найкращим чином постував з фахівцями з безпеки, що допомагали оператору підвищити захищеність своїх сервісів і продуктів. Ви можете прочитати його претензію повністю за посиланням в кінці новини, ми ж зосередимося на головному.

Суть в тому, що користувач отримав на електронну пошту лист з домену «Київстар» з HTML-вкладенням «Bookmarks_July.2018.html», що містить закладки з браузера робочого комп'ютера співробітника компанії. Всього в файлі було 113 закладок. Яке було здивування розробника, коли серед інших він виявив посилання, яке вело на незахищений файл на сервері компанії з таблицею, що містить всі дані (адреси, логіни і паролі) для отримання доступу до всієї інфраструктури і сервісів, що використовуються компанією.

Автор підкреслює, що ніякої додаткового захисту в вигляді двофакторної аутентифікації не було, завдяки чому він міг входити в ту чи іншу службу з правами адміністратора.

Також він наводить список сервісів, до яких мав доступ:
  • Amazon Web Services
  • Apple Developer
  • Mobile Action
  • App Annie
  • Disqus
  • Google Developers
  • Windows Dev Center
  • KBRemote
  • JIRA
  • Smartsheet
  • PushWoosh
  • TicketForEvent
  • Samsung Developers
  • CMS дляkyivstar.ua и hub.kyivstar.ua
  • Gmail
  • Zeplin
  • Prezi
  • Bitbucket
Усвідомлюючи наскільки важливою є знахідка, розробник вже на наступний день створив і відправив запит через платформу Bugcrowd. Незабаром він отримав у відповідь подяку, окуляри репутації і пропозиція отримати $ 50.

Учасник програми Bug Bounty підкреслює, що з урахуванням потенційного збитку для бізнесу, репутації і клієнтів він очікував отримати більше, ніж $ 50, за таку велику «вразливість».

«За допомогою одного лише облікового запису, наприклад, в Apple Developer зловмисник може змінити логін і пароль і завантажити свої збірки додатку або просто додати себе в адміністратори, залишивши backdoor», - пише розсерджений користувач.
До речі кажучи, проблеми було присвоєно найвищий за класифікацією оператора пріоритет P1 (Sensitive Data Exposure: Critically Sensitive Data - Password Disclosure).

Скромний розмір винагороди можна пояснити тим, що сам файл явно потрапив до користувача помилково. Тобто, по суті, це не вразливість як така, а звичайна недбалість.

Власне, це підтверджує і офіційний коментар «Київстар». Відповідаючи на повідомлення одного з користувачів в Facebook, компанія відзначає, що в даному випадку ніяких зусиль для пошуку вразливостей не було докладено, і фахівець просто «хотів отримати винагороду за випадково потрапила йому в руки інформацію».

З іншого боку, цінність цієї інформації явно вище, ніж $ 50, а сама по собі ситуація піднімає питання інформаційної безпеки і показує, що у «Київстар» з цим є великі проблеми.

Нижче наводимо коментар компанії повністю:

 
«Київстар забезпечує захист своїх інформаційних систем і персональних даних клієнтів. Для удосконалення роботи деяких сервісів Київстар з 2017 року реалізує програму Bug Bounty. Фахівці з кібер-безпеки можуть повідомляти про знайдені вразливості в програмних продуктах за допомогою перевірки коду, пентестов і ін в рамках конкретного сервісу (mobile & web apps). Погоджуючись брати участь в програмі Bug Bounty, фахівець приймає умови її проведення. При підтвердженні знайденої уразливості фахівець отримує грошову винагороду, відповідно до умов програми. Будь-які інші дії не є підставою для виплати винагороди. В даному випадку фахівець не докладав зусиль для пошуку вразливостей в програмних продуктах. Він хотів отримати винагороду за випадково потрапившіу йому в руки інформацію. Наполягаючи на грошовій компенсації, фахівець висловлював намір опублікувати про це статтю на відомому ресурсі. Цей інцидент не має негативних наслідків для клієнтів компанії. За весь період дії програми Bug Bounty від Київстар було виплачено всього 110 винагород. Це склало 27 155 $. Середнє винагороду - 250 $, а найвище на цей момент було виплачено в розмірі 1500 $»
Переглядів: 17 | Додав: dvi | Рейтинг: 0.0/0
Всього коментарів: 0
Ім'я *:
Email:
WWW:
Код *: