Мобильный оператор Киевстар потерял пароли к важным сервисам своей инфраструктуры

Мобильный оператор Киевстар потерял пароли к важным сервисам своей инфраструктуры

Мобильный оператор Киевстар потерял списки паролей с доступами к важным узлам своей инфраструктуры, а нашедшему их выплатил 50$.

Сегодня на популярном IT ресурсе Habr пользователь под псевдонимом @Gorodnya выложил информацию о том, что к нему попал файл со списком паролей к важным критическим сервисам инфраструктуры оператора Киевстар.

Пользователь рассказал, что к нему в почтовый ящик пришло письмо от сотрудницы компании Киевстар, с которой он на днях переписывался и в этом письме был приложен файл, в котором находилось более ста паролей к разным важным сервисам инфраструктуры компании Киевстар. Файл содержал подробные ссылки на каждый сервис, логин и пароль к каждому из них, краткое описание и регулярные суммы расходов по ним.

Убедившись, что пароли в полученном файле не обман и действительно дают доступ уровня администратора к указанным сервисам при этом Киевстар не использует дополнительную защиту в виде двухфакторной авторизации в компанию Киевстар был отравлен запрос по программе BugBounty.

В общей сложности был получен доступ к таким важным сервисам как:

Amazon Web Services
Apple Developer
Mobile Action
App Annie
Disqus
Google Developers
Windows Dev Center
KBRemote
JIRA
Smartsheet
PushWoosh
TicketForEvent
Samsung Developers
CMS для bigdata.kyivstar.ua и hub.kyivstar.ua
Gmail
Zeplin
Prezi
Bitbucket

Потеря доступа к ним или же получение к ним доступа конкурентов могло стоить компании многомиллионных убытков и создать серьезный удар по репутации, а так же опасности были подвергнуты все пользователи, которые так или иначе пользуются услугами Киевстар. Одна только подмена мобильного приложения в Apple Store или Play Market на вредоносное могло привести к серьезным потерям не только самой компании Киевстар, но и каждого её пользователя, которому на телефон могло быть установлено вредоносное ПО.

За то, что пользователь, «нашедший» эти пароли сообщил об инциденте в компанию Киевстар, а не продал этот список на чёрном рынке или же отдал их конкурентам было выплачено вознаграждение в сумме всего 50 долларов.

В сообществе Habr в комментариях к записи уже появились комментарии о том, что в будущем сообщать в компанию Киевстар данные о найденных уязвимостях не имет смысла и выгоднее продавать их на черном рынке, где за них могут заплатить значительно большие суммы, нежели поощрительные 50$.

Пользователь под псевдонимом @Soultan, представившийся сотрудником компании Киевстар (директором направления Digital) прокомментировал столь низкое вознаграждение тем, что получение файла от сотрудника компании не является чем-то существенным или сложным и не требует дополнительных знаний, а значит не имеет особой ценности. Кроме того, сотрудник компании Киевстар заявил, что текущий инцидент не попадает под условия программы BugBounty, т.к. не требует от компании Киевстар каких-либо действий для устранения уязвимости, не требует от ресерчера каких-либо действий для нахождения уязвимости и потому вообще не требует вознаграждения, но компания Киевстар всеравно благодарна ресерчеру и выплатила ему просто поощрительное вознаграждение в 50$.

Так же пользователя @Gorodnya, сообщивщего о проблеме сотрудник компании Киевстар под ником @Soultan обвинил в вымогательстве и нарушении программы BugBounty (но по заявлению того же @Soultan этот инцидент не попадает под программу BugBounty).

Скриншот части файла, который был получен на почту @Gorodnya

 



Курсы валют на 31 Июля

100 USD 2591.5589 грн.
100 EUR 3039.6394 грн.
10 RUB 4.3524 грн.
100 GBP 3393.6667 грн.

Курсы ценных металлов на 31 Июля

10 XAU 326432.76 грн.
10 XAG 4291.62 грн.
10 XPT 241274.13 грн.
10 XPD 227798.03 грн.