Український оператор випадково злив корпоративні паролі хакеру: що сталося

Четвер, 02 серпня 2018, 22:34

Співробітники українського мобільного оператора "Київстар" випадково злили "білому" хакеру файл з корпоративними даними компанії.

Ситуацію описав користувач IT-ресурсу Habr під ніком Gorodnya.

За його словами, в минулому році "Київстар" запустив програму Bug Bounty, в якій тестувальники за винагороду мали знайти програмні уразливості в роботі оператора.

Так, Gorodnya зареєструвався на платформі для тестувальників BugCrowd, щоб вказати на проблему, яку знайшов раніше. На сайті "Київстару" можна було отримувати інформацію про платоспроможність клієнтів оператора по їх номеру телефону.

Відзначається, що через деякий час після реєстрації тестувальника прийшов лист від компанії. Він опинився в папці "Спам", не прив'язаній до адреси з реєстрації.

У доданому файлі був HTML-файл зі 113 вкладками браузера. Велика частина вкладок не відкривалися, але в одній з них Gorodnya знайшов незахищений файл з паролями і логінами до корпоративних сервісів "Київстару", зокрема, Amazon Web, Services, Apple Developer, Mobile Action, App Annie, Disqus, Google Developers, Windows Dev Center.

Тестувальник розповів, що масштаб проблеми, яку він виявив - набагато більший, ніж просто вразливість. За допомогою одного облікового запису (наприклад, в Apple Developer) зловмисник може змінити логін і пароль, завантажити свої додатки або просто додати себе в адміністратори.

У зв'язку з цим Gorodnya знову звернувся в компанію, щоб повідомити про помилку. Спираючись на розцінки "Київстару" для тестувальників, він розраховував отримати від 1-3 тис. доларів винагороди, але компанія заплатила йому всього 50 доларів.

За оцінками фахівця, дані, які у нього виявилися, коштували близько 5,8 тис. доларів. Він стверджує, що така скромна винагорода спонукає людей шукати тих, хто запропонує за інформацію набагато більше.