Тестировщик получил доступ к логинам и паролям от сервисов Киевстар. За это ему предложили $50
Любую статью можно сохранить в закладки на сайте, чтобы прочесть ее позже.
Режим чтения увеличивает текст, убирает всё лишнее со страницы и даёт возможность сосредоточиться на материале. Здесь вы можете отключить его в любой момент.
Пользователь «Хабра» под псевдонимом Gorodnya рассказал о своём опыте участия в программе Bug Bounty компании «Киевстар». На пост обратило внимание издание AIN.UA. Оператор мобильной связи запустил программу в 2017 году, чтобы финансово вознаграждать «белых хакеров» за поиск уязвимостей.
После регистрации на BugCrowd ему пришло письмо от сотрудницы «Киевстар», в котором находилось HTML-вложение со 113 вкладками. Внутри он нашёл ссылку на файл со списком внутренних сервисов, которыми пользуются в «Киевстар». Среди них: Amazon Web Services, JIRA, Google Developers и многое другое. В этом же документе находились все логины и пароли от соответствующих сервисов. В сервисах не была настроена двухфакторная аутентификация, благодаря чему Gorodnya легко получил доступ к аккаунтам.
Тестировщик обратился за вознаграждением. Ему предложили $50. По мнению Gorodnya, только официальная стоимость аккаунтов превышает $5800, а действия «Киевстар» обесценивают дальнейший труд по поиску уязвимостей.
CDO «Киевстар» и один из инициаторов программы Bug Bounty Виталий Султан заявил, что проблема возникла из-за невнимательности сотрудницы — она не обратила внимание на автозаполнение в почтовом клиенте: «Сейчас она отстранена от дел, а хранение паролей в открытом виде стало предметом отдельного разбирательства». Также Султан добавил, что описанный случай не подпадает под условия Bug Bounty (разработчики должны находить уязвимости в программном коде), поэтому компания предложила выплату символического вознаграждения в $50.
