» » » Украинский оператор случайно слил корпоративные пароли хакеру: что произошло
3-08-2018, 05:28

Украинский оператор случайно слил корпоративные пароли хакеру: что произошло

673

Сотрудники украинского мобильного оператора "Киевстар" случайно слили "белому" хакеру файл с корпоративными данными компании.

Ситуацию описал пользователь IT-ресурса Habr под ником Gorodnya, передает Апостроф.

По его словам, в прошлом году "Киевстар" запустил программу Bug Bounty, в которой тестировщики за вознаграждение должны были найти программные уязвимости в работе оператора.

Так, Gorodnya зарегистрировался на платформе для тестировщиков BugCrowd, чтобы указать на проблему, которую нашел ранее. На сайте "Киевстара" можно было получать информацию о платежеспособности клиентов оператора по их номеру телефона.

Отмечается, что через некоторое время после регистрации тестировщику пришло письмо от компании. Оно оказалось в папке "Спам", не привязанной к адресу из регистрации.

Во вложении был HTML-файл со 113 вкладками браузера. Большая часть вкладок не открывалась, но в одной из них Gorodnya нашел незащищенный файл с паролями и логинами к корпоративным сервисам "Киевстара", в частности, AmazonWeb, Services, AppleDeveloper, MobileAction, AppAnnie, Disqus, GoogleDevelopers, WindowsDevCenter.

Тестировщик рассказал, что масштаб проблемы, которую он обнаружил - намного больше, чем просто уязвимость. С помощью одной учетной записи (например, в Apple Developer) злоумышленник может изменить логин и пароль, загрузить свои приложения или просто добавить себя в администраторы.

В связи с этим Gorodnya снова обратился в компанию, чтобы сообщить об ошибке. Опираясь на расценки "Киевстара" для тестировщиков, он рассчитывал получить от 1-3 тыс. долларов вознаграждения, но компания заплатила ему всего 50 долларов.

По оценкам специалиста, данные, которые у него оказались, стоили около 5,8 тыс. долларов. Он утверждает, что такое скромное вознаграждение побуждает людей искать тех, кто предложит за информацию гораздо больше.

Скриншоты / habr.com



Если вы заметили ошибку, выделите ее и нажмите Ctrl + Enter

Читайте срочные новости в Telegram