logo
02 Aug 2018

«Киевстар» по ошибке отправил пароли к своим корпоративным сервисам. Как так случилось?

Сотрудники мобильного оператора «Киевстар» случайно отправили «белому» хакеру файл с корпоративными данными компании. В нем оказались пароли доступа компании к аккаунтам на Amazon Web Services, Google Developers, Apple Developer и другие сервисы.

ХакерХакер

Ситуацию описал пользователь  IT-ресурса Habr под ником Gorodnya. На сайте он подробно рассказал, как это случилось.


В прошлом году «Киевстар» запустил программу Bug Bounty, в которой тестировщики за вознаграждение должны найти программные уязвимости в работе оператора.

Практичний інтенсивний курс з дизайну - Design Booster від Powercode academy.
Навчіться дизайну з нуля за 3 місяці і заробляйте перші $1000, навіть якщо ви не маєте креативного мислення, смаку або вміння малювати. Отримайте практичні навички, необхідні для успішної кар'єри в дизайні.
Зарееструватися

Gorodnya зарегистрировался на платформе для тестировщиков BugCrowd, чтобы указать на проблему, которую нашел ранее. На сайте «Киевстара» можно было получать информацию о платежеспособности клиентов оператора по их номеру телефона.

Через некоторое время после регистрации тестировщику пришло письмо от компании. Оно оказалось в папке «Спам», не привязанной к адресу из регистрации. Во вложении был HTML-файл со 113 вкладками браузера.

Большая часть вкладок не открывалась, но в одной из них Gorodnya нашел незащищенный файл с паролями и логинами к корпоративным сервисам «Киевстара».

Проверив один из них, тестировщику удалось зайти на сервис на правах администратора. Вот часть списка этих сайтов: Amazon Web, Services, Apple Developer, Mobile Action, App Annie, Disqus, Google Developers, Windows Dev Center.

файл с паролями и логинами к корпоративным сервисам «Киевстара»

Файл с паролями и логинами к корпоративным сервисам «Киевстара»

«Это доступ почти ко всей структуре компании и сервисам, которые она использует», – говорит автор

Он добавляет, что масштаб проблемы, которую он обнаружил − намного больше, чем просто уязвимость. С помощью одной учетной записи (например, в Apple Developer), злоумышленник может изменить логин и пароль, загрузить свои приложения или просто добавить себя в администраторы.

App Store Connect

App Store Connect

Gorodnya снова обратился в компанию, чтобы сообщить об ошибке. Опираясь на расценки «Киевстара» для тестировщиков, он рассчитывал получить от $1-3 тыс. вознаграждения. Но компания заплатила ему всего $50.

По оценкам автора, данные, которые у него оказались, стоили около $5,8 тыс. Он утверждает, что такое скромное вознаграждение побуждает людей искать тех, кто предложит за информацию гораздо больше.

Курс-професія "Motion Designer" від Skvot.
Навчіться створювати 2D- та 3D-анімації у софтах After Effects, Cinema 4D та Octane Render. Протягом курсу ви створите 14 моушн-роликів, 2 з яких — для реального клієнта.
Детальніше про курс

Новости

Вдохновляющие компании-работодатели

«БИОСФЕРА»

Ваша жалоба отправлена модератору

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: