«Киевстар» по ошибке отправил пароли к своим корпоративным сервисам. Как так случилось?

Сотрудники мобильного оператора «Киевстар» случайно отправили «белому» хакеру файл с корпоративными данными компании. В нем оказались пароли доступа компании к аккаунтам на Amazon Web Services, Google Developers, Apple Developer и другие сервисы.

Ситуацию описал пользователь  IT-ресурса Habr под ником Gorodnya. На сайте он подробно рассказал, как это случилось.


В прошлом году «Киевстар» запустил программу Bug Bounty, в которой тестировщики за вознаграждение должны найти программные уязвимости в работе оператора.

Gorodnya зарегистрировался на платформе для тестировщиков BugCrowd, чтобы указать на проблему, которую нашел ранее. На сайте «Киевстара» можно было получать информацию о платежеспособности клиентов оператора по их номеру телефона.

Через некоторое время после регистрации тестировщику пришло письмо от компании. Оно оказалось в папке «Спам», не привязанной к адресу из регистрации. Во вложении был HTML-файл со 113 вкладками браузера.

Большая часть вкладок не открывалась, но в одной из них Gorodnya нашел незащищенный файл с паролями и логинами к корпоративным сервисам «Киевстара».

Проверив один из них, тестировщику удалось зайти на сервис на правах администратора. Вот часть списка этих сайтов: Amazon Web, Services, Apple Developer, Mobile Action, App Annie, Disqus, Google Developers, Windows Dev Center.

файл с паролями и логинами к корпоративным сервисам «Киевстара»

Файл с паролями и логинами к корпоративным сервисам «Киевстара»

«Это доступ почти ко всей структуре компании и сервисам, которые она использует», – говорит автор

Он добавляет, что масштаб проблемы, которую он обнаружил − намного больше, чем просто уязвимость. С помощью одной учетной записи (например, в Apple Developer), злоумышленник может изменить логин и пароль, загрузить свои приложения или просто добавить себя в администраторы.

App Store Connect

App Store Connect

Gorodnya снова обратился в компанию, чтобы сообщить об ошибке. Опираясь на расценки «Киевстара» для тестировщиков, он рассчитывал получить от $1-3 тыс. вознаграждения. Но компания заплатила ему всего $50.

По оценкам автора, данные, которые у него оказались, стоили около $5,8 тыс. Он утверждает, что такое скромное вознаграждение побуждает людей искать тех, кто предложит за информацию гораздо больше.

Подписывайтесь на нас в Facebook!


Вы можете задать нам любой вопрос из сферы бизнеса, который вас беспокоит. Мы направим его тем, кто на практике разобрался с этой проблемой, и напишем об этом материал. Присылайте свои вопросы на адрес [email protected] В теме письма укажите – Вопрос редакции.

Вам будет интересно прочесть:

1. «Киевстар» запустил 4G. Что о сервисе думают Денис Довгополый, Тарас Мищенко, Иван Данишевский, Роман Тугашев и другие

2. Со счетов абонентов «Киевстар» списывают деньги без их согласия. Оператор делает это не сам, но доход с этого имеет

3. Мобильная связь пропадает из-за кражи кабелей. Глава «Киевстара» Чернышов пожаловался на воровство и бездействие полиции

«Уанет делится на две эпохи.
До MC Today и после. Читаю каждый
день вдохновляющие истории про
предпринимателей и вдохновляюсь сам»
Давид Браун, создатель TemplateMonster и Weblium

Подписывайтесь
на MC Today


Telegram-канал

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: