preview preview
Нова функція

Слухай статті з Respeecher

Нова функція дозволяє слухати статті в зручному форматі завдяки технології від Respeecher. Насолоджуйтесь контентом у будь-який час – у дорозі, під час тренувань або відпочинку.
preview
00:00 00:00
Наступні статті
    Завантажується
    Голос
    Вибір голосу
      player background
      Вибір голосу
        Наступні статті
          Завантажується
          00:00 00:00
          Общество

          Тестировщик получил доступ к логинам и паролям от сервисов Киевстар. За это ему предложили $50

          01 August 2018, 18:08
          2 мин чтения
          Добавить в закладки

          Любую статью можно сохранить в закладки на сайте, чтобы прочесть ее позже.

          Режим чтения увеличивает текст, убирает всё лишнее со страницы и даёт возможность сосредоточиться на материале. Здесь вы можете отключить его в любой момент.
          Режим чтения

          Режим чтения увеличивает текст, убирает всё лишнее со страницы и даёт возможность сосредоточиться на материале. Здесь вы можете отключить его в любой момент.

          Пользователь «Хабра» под псевдонимом Gorodnya рассказал о своём опыте участия в программе Bug Bounty компании «Киевстар». На пост обратило внимание издание AIN.UA. Оператор мобильной связи запустил программу в 2017 году, чтобы финансово вознаграждать «белых хакеров» за поиск уязвимостей.
          После регистрации на BugCrowd ему пришло письмо от сотрудницы «Киевстар», в котором находилось HTML-вложение со 113 вкладками. Внутри он нашёл ссылку на файл со списком внутренних сервисов, которыми пользуются в «Киевстар». Среди них: Amazon Web Services, JIRA, Google Developers и многое другое. В этом же документе находились все логины и пароли от соответствующих сервисов. В сервисах не была настроена двухфакторная аутентификация, благодаря чему Gorodnya легко получил доступ к аккаунтам.

          Тестировщик обратился за вознаграждением. Ему предложили $50. По мнению Gorodnya, только официальная стоимость аккаунтов превышает $5800, а действия «Киевстар» обесценивают дальнейший труд по поиску уязвимостей.
          CDO «Киевстар» и один из инициаторов программы Bug Bounty Виталий Султан заявил, что проблема возникла из-за невнимательности сотрудницы — она не обратила внимание на автозаполнение в почтовом клиенте: «Сейчас она отстранена от дел, а хранение паролей в открытом виде стало предметом отдельного разбирательства». Также Султан добавил, что описанный случай не подпадает под условия Bug Bounty (разработчики должны находить уязвимости в программном коде), поэтому компания предложила выплату символического вознаграждения в $50.

          Нашли ошибку? Выделите ее и нажмите Ctrl+Enter

          Загрузка...