Coost
09.08.2018, 14:35
По мнению хакера, такая работа стоит на порядок больше
Пользователь Habr.com (ник Gorodnya) обнаружил серьезную уязвимость в системе Киевстара. Ему за это предложили $50. Об этом сообщает (https://ain.ua/2018/07/31/kyivstar-bug-bounty) Ain.ua.
Он принимал участие в программе Bug Bounty от Киевстар. Оператор запустил (https://habr.com/post/418591/) ее в прошлом году, чтобы финансово вознаграждать белых хакеров за поиск уязвимостей. Программа работает в закрытом режиме — для сотрудничества и получения наград допущены только тестировщики, зарегистрированные на платформе BugCrowd.
Gorodnya, который ранее находил уязвимости в системах Платинум Банка, Альфа-банка Украина, Ощадбанка, тоже зарегистрирован на BugCrowd. В один день ему пришло письмо от сотрудницы Киевстар, ранее отвечавшей на его запрос.
Однако email-сообщение оказалось в папке Спам и было прислано на адрес, не совпадающий с указанным при регистрации аккаунта в BugCrowd. Внутри тестировщик нашел HTML-вложение со 113 вкладками. Часть из них не открывались по причине недоступности за пределами внутренней сети.
Но в одной находилась ссылка на файл со списком внутренних сервисов, которыми пользуются Киевстар.
http://www.liga.net/images/general/2018/08/01/20180801130331-3631.pngСписок сервисов
По словам автора, все логины и пароли хранились в незащищенном виде. В сервисах не была настроена двухфакторная аутентификация, благодаря чему Gorodnya легко получил к ним доступ.
Тестировщик обратился в Киевстар за вознаграждением. Ему предложили $50. По его мнению, лишь официальная стоимость аккаунтов превышает $5800.
Его лицо
https://thumbs.dreamstime.com/b/vector-okay-guy-meme-face-any-design-eps-77977071.jpg
Пользователь Habr.com (ник Gorodnya) обнаружил серьезную уязвимость в системе Киевстара. Ему за это предложили $50. Об этом сообщает (https://ain.ua/2018/07/31/kyivstar-bug-bounty) Ain.ua.
Он принимал участие в программе Bug Bounty от Киевстар. Оператор запустил (https://habr.com/post/418591/) ее в прошлом году, чтобы финансово вознаграждать белых хакеров за поиск уязвимостей. Программа работает в закрытом режиме — для сотрудничества и получения наград допущены только тестировщики, зарегистрированные на платформе BugCrowd.
Gorodnya, который ранее находил уязвимости в системах Платинум Банка, Альфа-банка Украина, Ощадбанка, тоже зарегистрирован на BugCrowd. В один день ему пришло письмо от сотрудницы Киевстар, ранее отвечавшей на его запрос.
Однако email-сообщение оказалось в папке Спам и было прислано на адрес, не совпадающий с указанным при регистрации аккаунта в BugCrowd. Внутри тестировщик нашел HTML-вложение со 113 вкладками. Часть из них не открывались по причине недоступности за пределами внутренней сети.
Но в одной находилась ссылка на файл со списком внутренних сервисов, которыми пользуются Киевстар.
http://www.liga.net/images/general/2018/08/01/20180801130331-3631.pngСписок сервисов
По словам автора, все логины и пароли хранились в незащищенном виде. В сервисах не была настроена двухфакторная аутентификация, благодаря чему Gorodnya легко получил к ним доступ.
Тестировщик обратился в Киевстар за вознаграждением. Ему предложили $50. По его мнению, лишь официальная стоимость аккаунтов превышает $5800.
Его лицо
https://thumbs.dreamstime.com/b/vector-okay-guy-meme-face-any-design-eps-77977071.jpg