logo
- 02 Авг 2018
785

«Киевстар» по ошибке отправил пароли к своим корпоративным сервисам. Как так случилось?

Сотрудники мобильного оператора «Киевстар» случайно отправили «белому» хакеру файл с корпоративными данными компании. В нем оказались пароли доступа компании к аккаунтам на Amazon Web Services, Google Developers, Apple Developer и другие сервисы.

Ситуацию описал пользователь  IT-ресурса Habr под ником Gorodnya. На сайте он подробно рассказал, как это случилось.


В прошлом году «Киевстар» запустил программу Bug Bounty, в которой тестировщики за вознаграждение должны найти программные уязвимости в работе оператора.

Gorodnya зарегистрировался на платформе для тестировщиков BugCrowd, чтобы указать на проблему, которую нашел ранее. На сайте «Киевстара» можно было получать информацию о платежеспособности клиентов оператора по их номеру телефона.

Через некоторое время после регистрации тестировщику пришло письмо от компании. Оно оказалось в папке «Спам», не привязанной к адресу из регистрации. Во вложении был HTML-файл со 113 вкладками браузера.

Большая часть вкладок не открывалась, но в одной из них Gorodnya нашел незащищенный файл с паролями и логинами к корпоративным сервисам «Киевстара».

Проверив один из них, тестировщику удалось зайти на сервис на правах администратора. Вот часть списка этих сайтов: Amazon Web, Services, Apple Developer, Mobile Action, App Annie, Disqus, Google Developers, Windows Dev Center.

файл с паролями и логинами к корпоративным сервисам «Киевстара»

Файл с паролями и логинами к корпоративным сервисам «Киевстара»

«Это доступ почти ко всей структуре компании и сервисам, которые она использует», – говорит автор

Он добавляет, что масштаб проблемы, которую он обнаружил − намного больше, чем просто уязвимость. С помощью одной учетной записи (например, в Apple Developer), злоумышленник может изменить логин и пароль, загрузить свои приложения или просто добавить себя в администраторы.

App Store Connect

App Store Connect

Gorodnya снова обратился в компанию, чтобы сообщить об ошибке. Опираясь на расценки «Киевстара» для тестировщиков, он рассчитывал получить от $1-3 тыс. вознаграждения. Но компания заплатила ему всего $50.

По оценкам автора, данные, которые у него оказались, стоили около $5,8 тыс. Он утверждает, что такое скромное вознаграждение побуждает людей искать тех, кто предложит за информацию гораздо больше.

Читайте еще:

Вакансии компаний

РАЗМЕСТИТЬ ВАКАНСИЮ
ЗА 1600 ГРН

Директор по маркетингу и продажам

Компьютерная Академия ШАГ, Одесса

Scala Engineer

TRANZZO, Киев

ЕЩЕ 23 ВАКАНСИИ

Вдохновляющие компании

«Бітрікс24»

Мы – №1 на украинском рынке CRM-систем. Как нам удалось построить команду, в которой комфортно работать.

«Битрикс24»
«Биосфера»

Мы производим и продаём почти все известные вам украинские товары для уборки, приготовления и хранения пищи и личной гигиены: от салфеток до таблеток для посудомоечных машин

Выбор редактора

Вакансии компаний

РАЗМЕСТИТЬ ВАКАНСИЮ
ЗА 1600 ГРН

Директор по маркетингу и продажам

Компьютерная Академия ШАГ, Одесса

Scala Engineer

TRANZZO, Киев

ЕЩЕ 23 ВАКАНСИИ

Спецпроект

Вдохновляющие компании-работодатели

ABM Cloud
«БИОСФЕРА»

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: