Общество

Тестировщик получил доступ к логинам и паролям от сервисов Киевстар. За это ему предложили $50

01 августа 2018, 18:08
2 мин чтения
Материал успешно добавлен в закладки Достигнуто максимальное количество закладок
Добавить в закладки

Любую статью можно сохранить в закладки на сайте, чтобы прочесть ее позже.

Режим чтения увеличивает текст, убирает всё лишнее со страницы и даёт возможность сосредоточиться на материале. Здесь вы можете отключить его в любой момент.
Режим чтения

Режим чтения увеличивает текст, убирает всё лишнее со страницы и даёт возможность сосредоточиться на материале. Здесь вы можете отключить его в любой момент.

Пользователь «Хабра» под псевдонимом Gorodnya рассказал о своём опыте участия в программе Bug Bounty компании «Киевстар». На пост обратило внимание издание AIN.UA. Оператор мобильной связи запустил программу в 2017 году, чтобы финансово вознаграждать «белых хакеров» за поиск уязвимостей.
После регистрации на BugCrowd ему пришло письмо от сотрудницы «Киевстар», в котором находилось HTML-вложение со 113 вкладками. Внутри он нашёл ссылку на файл со списком внутренних сервисов, которыми пользуются в «Киевстар». Среди них: Amazon Web Services, JIRA, Google Developers и многое другое. В этом же документе находились все логины и пароли от соответствующих сервисов. В сервисах не была настроена двухфакторная аутентификация, благодаря чему Gorodnya легко получил доступ к аккаунтам.

Тестировщик обратился за вознаграждением. Ему предложили $50. По мнению Gorodnya, только официальная стоимость аккаунтов превышает $5800, а действия «Киевстар» обесценивают дальнейший труд по поиску уязвимостей.
CDO «Киевстар» и один из инициаторов программы Bug Bounty Виталий Султан заявил, что проблема возникла из-за невнимательности сотрудницы — она не обратила внимание на автозаполнение в почтовом клиенте: «Сейчас она отстранена от дел, а хранение паролей в открытом виде стало предметом отдельного разбирательства». Также Султан добавил, что описанный случай не подпадает под условия Bug Bounty (разработчики должны находить уязвимости в программном коде), поэтому компания предложила выплату символического вознаграждения в $50.

Нашли ошибку? Выделите ее и нажмите Ctrl+Enter

ЧИТАЙТЕ ТАКЖЕ
БИЗНЕС TemplateMonster — 20 років
TemplateMonster — 20 лет. История компании от маленькой вебстудии до маркетплейса из 175 000 продуктов
Материал успешно добавлен в закладки Достигнуто максимальное количество закладок
10 июня 2022, 14:00 5 мин чтения
БИЗНЕС
Tinder для доставки груза. Рассказываем о сервисе перевозок, соединяющем водителей и отправителей
Материал успешно добавлен в закладки Достигнуто максимальное количество закладок
28 апреля 2022, 10:00 3 мин чтения
БИЗНЕС
Целеустремленность. Как PeopleForce работает во время войны?
Материал успешно добавлен в закладки Достигнуто максимальное количество закладок
25 апреля 2022, 14:00 7 мин чтения
БИЗНЕС Як поговорити з колегами про війну
Я украинец и работаю за границей. Как поговорить с коллегами о войне
Материал успешно добавлен в закладки Достигнуто максимальное количество закладок
05 апреля 2022, 14:00 12 мин чтения
Загрузка...