Мы часто пишем о солидных суммах денежных вознаграждений, которые предлагают (и выплачивают) международные технологические компании вроде Google и Microsoft за уязвимости, выявленные в их продукции. Не так давно такая же программа появилась и у крупнейшего украинского мобильного оператора «Киевстар», называется она – Bug Bounty и предполагает выплату вознаграждений за уязвимости, найденные в веб-сервисах и приложениях компании. Максимальная сумма вознаграждения в рамках этой программы — $3000. И вот вчера на ресурсе «Хабрахабр» пользователь под ником Gorodnya рассказал, как обнаружил серьезную уязвимость, но вместо щедрого вознаграждения, которого, как считал, заслуживал, ему предложили скромную выплату в размере $50.
Белый хакер подробно описывает свои обиженные чувства историю, приводя более ранние примеры, когда «Киевстар» не самым лучшим образом поступал со специалистами по безопасности, помогавшими оператору повысить защищенность своих сервисов и продуктов. Вы можете прочесть его претензию полностью по ссылке в конце новости, мы же сосредоточимся на главном.
Суть в том, что пользователь получил на электронную почту письмо с домена «Киевстар» с HTML-вложением «Bookmarks_July.2018.html», содержащим закладки из браузера рабочего компьютера сотрудника компании. Всего в файле было 113 закладок. Каково было удивление разработчика, когда среди других он обнаружил ссылку, которая вела на незащищенный файл на сервере компании с таблицей, содержащей все данные (адреса, логины и пароли) для получения доступа ко всей инфраструктуре и сервисам, используемым компанией.
Автор подчеркивает, что никакой дополнительной защиты в виде двухфакторной аутентификации не было, благодаря чему он мог входить в ту или иную службу с правами администратора.
Также он приводит список сервисов, к которым имел доступ:
- Amazon Web Services
- Apple Developer
- Mobile Action
- App Annie
- Disqus
- Google Developers
- Windows Dev Center
- KBRemote
- JIRA
- Smartsheet
- PushWoosh
- TicketForEvent
- Samsung Developers
- CMS дляkyivstar.ua и hub.kyivstar.ua
- Gmail
- Zeplin
- Prezi
- Bitbucket
Осознавая насколько важной является находка, разработчик уже на следующий день создал и отправил запрос через платформу Bugcrowd. Вскоре он получил в ответ благодарность, очки репутации и предложение получить $50.
Участник программы Bug Bounty подчеркивает, что с учетом потенциального ущерба для бизнеса, репутации и клиентов он ожидал получить больше, чем $50, за столь крупную «уязвимость».
«С помощью одной только учётной записи, например, в Apple Developer злоумышленник может сменить логин и пароль и загрузить свои сборки приложения или просто добавить себя в администраторы, оставив backdoor», – пишет раздосадованный пользователь.
Кстати говоря, проблеме был присвоен наивысший по классификации оператора приоритет P1 (Sensitive Data Exposure: Critically Sensitive Data — Password Disclosure).
Скромный размер вознаграждения можно объяснить тем, что сам файл явно попал к пользователю по ошибке. То есть, по сути, это не уязвимость как таковая, а обычная халатность.
Собственно, это подтверждает и официальный комментарий «Киевстар». Отвечая на сообщение одного из пользователей в Facebook, компания отмечает, что в данном случае никаких усилий для поиска уязвимостей не было приложено, и специалист просто «хотел получить вознаграждение за случайно попавшую ему в руки информацию».
С другой стороны, ценность этой информации явно выше, чем $50, а сама по себе ситуация поднимает вопрос информационной безопасности и показывает, что у «Киевстар» с этим есть большие проблемы.
Ниже приводим комментарий компании полностью:
«Киевстар обеспечивает защиту своих информационных систем и персональных данных клиентов. Для усовершенствования работы некоторых сервисов Киевстар с 2017 года реализует программу Bug Bounty. Специалисты по кибер-безопасности, согласно брифа программы, могут сообщать о найденных уязвимостях в программных продуктах посредством проверки кода, пентестов и др в рамках конкретного сервиса (mobile & web apps). Соглашаясь участвовать в программе Bug Bounty, специалист принимает условия ее проведения. При подтверждении найденной уязвимости специалист получает денежное вознаграждение, в соответствии с условиями программы. Любые другие действия не являются основанием для выплаты вознаграждения. В данном случае специалист не прилагал усилий для поиска уязвимостей в программных продуктах. Он хотел получить вознаграждение за случайно попавшую ему в руки информацию. Настаивая на денежной компенсации, специалист выражал намерение опубликовать об этом статью на известном ресурсе. Этот инцидент не имеет негативных последствий для клиентов компании. За весь период действия программы Bug Bounty от Киевстар было выплачено всего 110 вознаграждений. Это составило 27 155 $. Среднее вознаграждение – 250 $, а наивысшее на этот момент было выплачено в размере 1500$»
Источник: habr